本文档涵盖了上述版本中实现的配置语言。它不提供任何提示、示例或建议。有关此类文档，请参阅参考手册或架构手册。以下摘要旨在帮助您按名称查找章节并在文档中导航。文档贡献者须知：本文档每行格式化为80列，使用偶数个空格进行缩进，不使用制表符。请严格遵守这些规则，以便在任何地方都能轻松打印。如果某行需要逐字打印且不适合，请在每行末尾加上反斜杠（'\'），并在下一行继续，缩进两个字符。有时，为了强调输入和输出之间的差异，当它们可能模糊不清时，用三个闭合尖括号（'>>>'）作为所有输出行（日志、控制台输出）的前缀也很有用。如果添加新章节，请更新下面的摘要以便于搜索。

当 HAProxy 在 HTTP 模式下运行时，请求和响应都会被完全分析和索引，因此可以根据内容中找到的几乎任何信息来构建匹配标准。然而，重要的是要了解 HTTP 请求和响应是如何构成的，以及 HAProxy 是如何分解它们的。这样将更容易编写正确的规则并调试现有配置。

HTTP协议是面向事务的。这意味着每个请求只会产生一个且仅一个响应。传统上，客户端会建立一个到服务器的TCP连接，通过该连接发送请求，服务器响应，然后关闭连接。新的请求将涉及新的连接：[CON1] [REQ1] ... [RESP1] [CLO1] [CON2] [REQ2] ... [RESP2] [CLO2] ... 在这种模式下，称为“HTTP关闭”模式，每次HTTP事务都需要建立新的连接。由于服务器在响应后关闭连接，客户端不需要知道内容长度。鉴于协议的事务性，可以对其进行改进，以避免在两次连续事务之间关闭连接。但是，在这种模式下，服务器必须为每个响应指示内容长度，以免客户端无限期等待。为此，使用了一个特殊的头：“Content-length”。这种模式称为“keep-alive”模式：[CON] [REQ1] ... [RESP1] [REQ2] ... [RESP2] [CLO] ... 它的优点是事务之间的延迟降低，服务器端的处理能力要求也更少。它通常比关闭模式更好，但并非总是如此，因为客户端通常会将并发连接限制在较小的值。通信中的另一个改进是流水线模式。它仍然使用keep-alive，但客户端在收到第一个响应之前就可以发送第二个请求。这对于获取组成页面的大量图像非常有用：[CON] [REQ1] [REQ2] ... [RESP1] [RESP2] [CLO] ... 由于消除了连续请求之间的网络延迟，这显然可以带来巨大的性能提升。许多HTTP代理不支持流水线，因为在HTTP中没有办法将响应与相应的请求关联起来。因此，服务器必须按照接收请求的精确顺序进行响应。下一个改进是多路复用模式，例如HTTP/2中的实现。这一次，每个事务都被分配一个单一的流标识符，并且所有流都通过现有连接进行多路复用。客户端可以并行发送许多请求，响应也可以以任何顺序到达，因为它们也带有流标识符。默认情况下，HAProxy在持久连接方面以keep-alive模式运行：对于每个连接，它会处理每个请求和响应，并在响应结束和新请求开始之间让双方连接处于空闲状态。当它从客户端接收到HTTP/2连接时，它会并行处理所有请求，并将连接保持空闲，等待新请求，就像它是keep-alive HTTP连接一样。HAProxy支持4种连接模式：- keep alive：处理所有请求和响应（默认）- tunnel：只处理第一个请求和响应，其余的都转发，不进行分析（已弃用）。- server close：服务器端连接在响应后关闭。- close：连接在响应结束后主动关闭。

首先，让我们考虑这个 HTTP 请求： 行号 内容 1 GET /serv/login.php?lang=en&profile=2 HTTP/1.1 2 Host: www.mydomain.com 3 User-agent: my small browser 4 Accept: image/jpeg, image/gif 5 Accept: image/png

第1行是“请求行”。它总是由3个字段组成：- 方法：GET - URI：/serv/login.php?lang=en&profile=2 - 版本标签：HTTP/1.1 所有这些字段都由标准称为LWS（线性空格）的内容分隔，这些通常是空格，但也可能是制表符或行进/回车符后跟空格/制表符。方法本身不能包含任何冒号（':'），并且限制为字母。所有这些不同的组合使得HAProxy执行拆分操作而不是让用户编写复杂或不准确的正则表达式是可取的。URI本身可以有几种形式：- “相对URI”：/serv/login.php?lang=en&profile=2 这是一个完整的URL，但不包含主机部分。这通常是服务器、反向代理和透明代理接收到的。- “绝对URI”，也称为“URL”：http://192.168.0.12:8080/serv/login.php?lang=en&profile=2 它由“方案”（协议名称后跟“://”）、主机名或地址、可选的冒号（':'）后跟端口号，然后是紧跟地址部分第一个斜杠（'/'）之后的相对URI组成。这通常是代理接收到的，但支持HTTP/1.1的服务器也必须接受这种形式。- 星号（'*'）：这种形式仅在与OPTIONS方法关联时接受，并且不可中继。它用于查询下一跳的能力。- 地址:端口组合：192.168.0.12:80 这与CONNECT方法一起使用，该方法用于通过HTTP代理建立TCP隧道，通常用于HTTPS，但有时也用于其他协议。在相对URI中，确定了两个子部分。问号之前的部分称为“路径”。它通常是服务器上静态对象的相对路径。问号之后的部分称为“查询字符串”。它主要用于发送到动态脚本的GET请求，并且非常特定于所使用的语言、框架或应用程序。HTTP/2不通过请求传递版本信息，因此版本假定与底层协议相同（即“HTTP/2”）。

头信息从第二行开始。它们由行开头的一个名称组成，后面立即跟着一个冒号（':'）。传统上，冒号后会添加一个LWS，但这并非必需。然后是值。多个相同的头信息可以通过逗号分隔值合并为一行，前提是它们的顺序得到尊重。这在“Cookie:”字段中经常遇到。如果后续行以LWS开头，则一个头信息可以跨越多行。在1.2中的示例中，第4行和第5行定义了“Accept:”头的总共3个值。与常见的误解相反，头信息名称不区分大小写，如果它们引用其他头信息名称（如“Connection:”头信息），则它们的值也不区分大小写。在HTTP/2中，头信息名称始终以小写发送，就像在调试模式下运行时一样。在内部，所有头信息名称都标准化为小写，以便HTTP/1.x和HTTP/2使用完全相同的表示，并且它们按原样发送到另一端。这解释了为什么用驼峰式大小写输入的HTTP/1.x请求会以小写形式传递。头信息的结束由第一个空行指示。人们常说这是双换行符，这并不准确，即使双换行符也是一种有效的空行形式。幸运的是，HAProxy在索引头信息、检查值和计数时会处理所有这些复杂的组合，因此没有理由担心它们可能被书写的方式，但如果不指责应用程序出现bug，它会执行一些不寻常但有效的事情，这一点很重要。重要提示：如RFC7231所建议，HAProxy通过用LWS替换头信息中间的换行符来规范化头信息，以合并多行头信息。这对于正确的分析是必需的，并且有助于能力较弱的HTTP解析器正确工作，而不被如此复杂的结构所欺骗。

HTTP响应看起来非常像HTTP请求。两者都称为HTTP消息。我们来看这个HTTP响应：行号 内容 1 HTTP/1.1 200 OK 2 Content-length: 350 3 Content-Type: text/html 特殊情况下，HTTP支持所谓的“信息性响应”，状态码为1xx。这些消息的特殊之处在于它们不携带响应的任何部分，它们仅用作一种信号消息，例如请求客户端继续发布其请求。在状态码100的情况下，请求的信息将由信息性消息后面的下一个非100响应消息携带。这意味着单个请求可能发送多个响应，并且这仅在启用keep-alive时有效（1xx消息仅适用于HTTP/1.1）。HAProxy处理这些消息，并且能够正确转发和跳过它们，只处理下一个非100响应。因此，除非明确说明，否则这些消息既不记录也不转换。状态码101消息表示同一连接上的协议正在更改，HAProxy必须切换到隧道模式，就像发生了CONNECT一样。然后，Upgrade头信息将包含有关连接正在切换到的协议类型的其他信息。

第1行是“响应行”。它总是由3个字段组成：- 版本标签：HTTP/1.1 - 状态码：200 - 原因：OK 状态码始终是3位数字。第一位数字表示一般状态：- 1xx = 信息性消息，应跳过（例如，100，101）- 2xx = OK，内容正在加载（例如，200，206）- 3xx = OK，无内容（例如，302，304）- 4xx = 客户端错误（例如，401，403，404）- 5xx = 服务器错误（例如，500，502，503）请参考RFC7231以获取所有此类代码的详细含义。“原因”字段只是一个提示，但客户端不会解析它。其中可能包含任何内容，但遵循公认的消息是一种常见做法。它可以由一个或多个单词组成，例如“OK”、“Found”或“Authentication Required”。HAProxy自身可能会发出以下状态码：代码 何时/原因 200 访问stats页面，以及在响应监控请求时 301 在执行重定向时，取决于配置的代码 302 在执行重定向时，取决于配置的代码 303 在执行重定向时，取决于配置的代码 307 在执行重定向时，取决于配置的代码 308 在执行重定向时，取决于配置的代码 400 对于无效或过大的请求 401 在执行操作时需要身份验证（访问stats页面时） 403 当请求被“http-request deny”规则禁止时 404 当找不到请求的资源时 408 请求超时在请求完成之前触发 410 请求的资源不再可用且以后也不会可用 500 当haproxy遇到无法恢复的内部错误时，例如内存分配失败，这应该永远不会发生 502 当服务器返回空、无效或不完整的响应时，或者当“http-response deny”规则阻止响应时。 503 当没有可用的服务器来处理请求时，或者响应监控请求匹配“monitor fail”条件时 504 当响应超时在服务器响应之前触发 上面提到的4xx和5xx错误代码可以自定义（请参阅第4.2节中的“errorloc”）。

响应头的处理方式与请求头完全相同，因此 HAProxy 对两者使用相同的解析函数。更多详情请参考 1.2.2 段。

HAProxy的配置过程涉及3个主要参数来源：- 命令行参数，它们始终具有最高优先级- 配置文件，其格式在此处描述- 正在运行的进程的环境，以防某些环境变量被显式引用配置文件遵循相当简单的分层格式，该格式遵守一些基本规则：1. 配置文件是语句的有序序列2. 语句是任何未受保护的“#”（hash）之前的单个非空行3. 行是由未受保护的空格或制表符分隔的一系列标记或“单词”4. 行的第一个单词或单词序列是本文档中列出的关键字之一或关键字序列5. 所有其他单词都是第一个单词的参数，其中一些是本文档中列出的已知关键字，其他则是值、对配置其他部分的引用或表达式6. 某些关键字界定一个部分，在该部分内仅支持关键字的子集7. 一个部分在文件末尾结束，或在启动一个新部分的特殊关键字处结束。了解这些就足以编写一个简单可靠的配置生成器，但这不足以可靠地解析任何配置或弄清楚如何处理某些边缘情况。首先，上述规则有一些后果。规则6和7意味着用于定义新部分的关键字在任何地方都有效，并且在特定部分不能具有不同的含义。这些关键字始终是单个单词（与单词序列相反），传统上，它们后面的部分使用相同的名称来指定。例如，在谈论“global section”时，它表示“global”关键字之后的配置部分。这种用法在错误消息中经常出现，以帮助定位需要解决的部分。许多部分创建了一个内部对象或配置空间，需要与其他部分区分开来。在这种情况下，它们将占用一个额外的单词，该单词将设置该特定部分的名称。对于其中一些，部分名称是强制的。例如，“frontend foo”将创建一个类型为“frontend”，名称为“foo”的新部分。通常，名称特定于其部分，并且不同类型的两个部分可以使用相同的名称，但不推荐这样做，因为它会使配置管理复杂化。规则7的一个直接后果是，当一次读取多个文件时，每个文件都必须以新部分开始，并且每个文件的结束将结束一个部分。一个文件不能包含子部分，也不能结束现有部分并开始新的部分。规则1提到顺序很重要。实际上，某些关键字创建的指令可以重复多次以创建有序的规则序列，并按特定顺序应用。例如，“tcp-request”可用于根据不同条件来交替“accept”和“reject”规则。因此，配置文件处理器在编辑文件时必须始终保留部分的顺序。部分的顺序通常无关紧要，除了全局部分必须放在其他部分之前，但如果需要，它可以重复。此外，一些自动标识符可能会自动分配给某些创建的对象（例如代理），并且通过重新排序部分，它们的标识符将发生变化。这些标识符出现在统计信息中，例如。因此，下面的配置将为“foo”分配ID号1，为“bar”分配ID号2，如果两个部分反转，它们的ID将互换：listen foo bind :80 listen bar bind :81 另一个重要点是，根据上述规则2和3，空行、空格、制表符以及未受保护的“#”字符后的注释不属于配置，因为它们仅用作分隔符。这意味着以下配置是严格等效的：global#this is the global section daemon#daemonize frontend foo mode http # or tcp and: global daemon # this is the public web frontend frontend foo mode http 常见的做法是将启动新部分的关键字左对齐，并将所有其他关键字缩进（即，在前面加上制表符或几个空格），以便立即显示它们属于同一部分（如上面的第二个示例所示）。在新部分之前放置注释有助于读者决定是否是所需的部分。在部分末尾留一个空行在编辑时也有助于直观地识别结束。制表符非常方便用于缩进，但它们不容易复制粘贴。如果改为使用空格，建议不要放置过多（2到4个），以免在字段编辑时，对于不支持自动缩进的有限编辑器来说，会带来负担。早期，由于大多数关键字最多只能接受两个参数，因此参数被拆分到固定的制表符位置是很常见的。随着现代版本引入复杂表达式，这种做法不再适用，也不被推荐。

在现代配置中，某些参数需要使用以前被视为纯分隔符的字符。为了实现这一点，HAProxy支持通过在要转义的字符前面加上反斜杠（'\'）来实现字符转义，以及在双引号（'"'）内进行弱引用，在单引号（"'"）内进行强引用。这非常类似于在许多编程语言中以及在Bourne shell中常见的情况。原理如下：配置解析器将行分解为单词时，它还会处理引号和反斜杠，以确定一个字符是分隔符，还是当前单词中该字符的原始表示。然后，转义字符被移除，引号被移除，剩余的单词按原样用作关键字或参数。如果一个单词需要反斜杠，它必须要么用自身（即双反斜杠）进行转义，要么进行强引用。引号外的转义是通过在特殊字符前加上反斜杠（'\'）来实现的：\ 来标记一个空格并区别于分隔符 \# 来标记一个哈希并区别于注释 \\ 来使用一个反斜杠 \' 来使用一个单引号并区别于强引用 \" 来使用一个双引号并区别于弱引用此外，可以使用C语言的常规表示法来发出一些不可打印字符：\n 来插入换行符（LF，字符 \x0a 或十进制ASCII 10） \r 来插入回车符（CR，字符 \x0d 或十进制ASCII 13） \t 来插入制表符（字符 \x09 或ASCII 9） \xNN 来插入ASCII码为十六进制NN的字符（例如 \x0a 用于LF）。弱引用是通过在要保护的字符或字符序列周围加上双引号（“"”）来实现的。弱引用可防止解释：空格或制表符作为单词分隔符 ' 单引号作为强引用分隔符 # 哈希作为注释起始符弱引用允许通过在美元符号（'$'）前加上它来解释环境变量（环境变量在引号外不被求值）。如果双引号内需要美元字符，则必须用反斜杠转义。强引用是通过在要保护的字符或字符序列周围加上单引号（“'”）来实现的。在单引号内，没有任何东西被解释，这是引用正则表达式的有效方法。结果是，这是一个矩阵，显示了如何在不同上下文中输入特殊字符（不可打印字符用其在尖括号内的名称替换）。请注意，一些只能通过转义表示的字符在单引号内没有可能的表示，因此在单引号内不存在。

# 以下这些都是完全等效的： log-format %{+Q}o\ %t\ %s\ %{-Q}r log-format "%{+Q}o %t %s %{-Q}r" log-format '%{+Q}o %t %s %{-Q}r' log-format "%{+Q}o %t"' %s %{-Q}r' log-format "%{+Q}o %t"' %s'\ %{-Q}r

在一种特殊情况下，可能需要第二级引用或转义。一些关键字在括号内接受参数，有时用逗号分隔。这些参数通常是整数或预定义的单词，但当它们是任意字符串时，可能需要执行单独的转义级别，以区分属于参数的字符与用于分隔参数本身的字符。一个非常常见的例子是“regsub”转换器。它接受一个正则表达式作为参数，如果需要一个闭合括号，则该括号需要有自己的引号。关键字参数解析器在引号方面与顶层解析器完全相同，只是它不会特殊处理反斜杠。但并非总是显而易见的是，内部使用的分隔符必须首先被转义或引用，以便它们不在顶层解析。以这个使用“regsub”转换器的示例为例，该转换器接受3个参数：一个正则表达式，一个替换字符串和一个标志集：# 在路径中替换所有出现的“foo”为“blah”：http-request set-path %[path,regsub(foo,blah,g)] 在这里不需要特殊的引用。但是，如果我们现在想将“foo”或“bar”替换为“blah”，我们将需要正则表达式“(foo|bar)”。我们不能写：http-request set-path %[path,regsub((foo|bar),blah,g)] 因为我们希望字符串像这样分割：http-request set-path %[path,regsub((foo|bar),blah,g)] |---------|----|-| arg1 _/ / / arg2 __________/ / arg3 ______________/ 但实际上传递的是开闭括号之间的字符串，然后是垃圾：http-request set-path %[path,regsub((foo|bar),blah,g)] |--------|--------| arg1=(foo|bar _/ / trailing garbage _________/ 显然的解决方案似乎是闭合括号需要被引用，但单独这样做是行不通的，因为如上所述，引号由顶层解析器处理，该解析器将在处理此单词之前解析它们：http-request set-path %[path,regsub("(foo|bar)",blah,g)] ------------ -------- ---------------------------------- word1 word2 word3=%[path,regsub((foo|bar),blah,g)] 所以我们并没有改变第二级参数解析器，它仍然将截断的正则表达式视为唯一参数，并在字符串末尾看到垃圾。通过转义引号，它们将未经修改地传递到第二级：http-request set-path %[path,regsub(\"(foo|bar)\",blah,g)] ------------ -------- ------------------------------------ word1 word2 word3=%[path,regsub("(foo|bar)",blah,g)] |---------||----|-| arg1=(foo|bar) _/ / / arg2=blah ___________/ / arg3=g _______________/ 另一种方法是使用单引号括起整个字符串，并在内部使用双引号（这样双引号就不会再次被剥离）：http-request set-path '%[path,regsub("(foo|bar)",blah,g)]' ------------ -------- ---------------------------------- word1 word2 word3=%[path,regsub("(foo|bar)",blah,g)] |---------||----|-| arg1=(foo|bar) _/ / / arg2 ___________/ / arg3 _______________/ 使用正则表达式时，可能会出现美元（'$'）字符出现在表达式中，或者反斜杠（'\'）用于替换字符串。在这种情况下，这些字符将在双引号内被处理，因此首选单引号（或双重转义）。示例：http-request set-path '%[path,regsub("^/(here)(/|$)","my/\1",g)]' ------------ -------- ----------------------------------------- word1 word2 word3=%[path,regsub("^/(here)(/|$)","my/\1",g)] |-------------| |-----||-| arg1=(here)(/|$) _/ / / arg2=my/\1 ________________/ / arg3 ______________________/ 请记住，反斜杠在单引号内不是转义字符，并且上面的整个word3已经使用了单引号进行保护。相反，如果整个表达式都使用了双引号，美元字符和反斜杠将在顶层解析，破坏第二级参数的内容。如有疑问，请不要使用任何引号，并开始在需要逗号或闭合括号的参数周围放置单引号或双引号，并考虑使用反斜杠转义这些引号，如果字符串包含美元或反斜杠。再次，这非常类似于Bourne shell中用于“eval”命令的双重转义。对于API编写者来说，最好的方法可能是为每个参数加上转义的引号，无论其内容如何。用户可能会发现，在整个表达式周围使用单引号，并在每个参数周围使用双引号，可以使配置更易读。

HAProxy 的配置支持环境变量。这些变量仅在双引号内被解释。变量在配置解析期间展开。变量名前必须加上美元符号（"$"），并可选地用大括号（"{}"）括起来，类似于 Bourne shell 中的做法。变量名可以包含字母数字字符或下划线（"_"），但不应以数字开头。

bind "fd@${FD_APP1}" log "${LOCAL_SYSLOG}:514" local0 notice # 发送到本地服务器 user "$HAPROXY_USER"

一些变量由 HAProxy 定义，它们可以在配置文件中使用，或者可以被程序继承（参见 3.7. 程序）： * HAPROXY_LOCALPEER：在进程启动时定义，包含本地对等体的名称。（参见管理指南中的 "-L"。） * HAPROXY_CFGFILES：由 HAProxy 加载的配置文件列表，以分号分隔。如果您指定了一个目录，这可能很有用。 * HAPROXY_MWORKER：在主-工作者模式下，此变量设置为 1。 * HAPROXY_CLI：为每个进程配置的统计套接字的监听地址，以分号分隔。 * HAPROXY_MASTER_CLI：在主-工作者模式下，主 CLI 的监听地址，以分号分隔。另请参见“external-check command”了解其他变量。

一些参数涉及表示时间的值，例如超时。这些值通常以毫秒表示（除非另有明确说明），但也可以通过在数值后附加单位来以任何其他单位表示。考虑这一点很重要，因为每个关键字都不会重复说明。支持的单位有：- us：微秒。1 微秒 = 1/1000000 秒 - ms：毫秒。1 毫秒 = 1/1000 秒。这是默认单位。 - s：秒。1s = 1000ms - m：分钟。1m = 60s = 60000ms - h：小时。1h = 60m = 3600s = 3600000ms - d：天。1d = 24h = 1440m = 86400s = 86400000ms

# 一个简单的 HTTP 代理配置，在所有接口的 80 端口上监听，# 并将请求转发到名为 "servers" 的单个后端，该后端有一个名为 "server1" 的服务器，# 监听于 127.0.0.1:8000 global daemon maxconn 256 defaults mode http timeout connect 5000ms timeout client 50000ms timeout server 50000ms frontend http-in bind *:80 default_backend servers backend servers server server1 127.0.0.1:8000 maxconn 32 # 使用单个 listen 块定义的相同配置。更短但表达力较差，尤其是在 HTTP 模式下。 global daemon maxconn 256 defaults mode http timeout connect 5000ms timeout client 50000ms timeout server 50000ms listen http-in bind *:80 server server1 127.0.0.1:8000 maxconn 32 假设 haproxy 在 $PATH 中，请在 shell 中使用以下命令测试这些配置：$ sudo haproxy -f configuration.conf -c

“global”部分中的参数是进程范围的，并且通常是操作系统特定的。它们通常一次设置好，并且一旦正确设置后就不需要更改。其中一些具有命令行等效项。在“global”部分支持以下关键字：* 进程管理和安全- 51degrees-cache-size- 51degrees-data-file- 51degrees-property-name-list- 51degrees-property-separator- ca-base- chroot- cpu-map- crt-base- daemon- description- deviceatlas-json-file- deviceatlas-log-level- deviceatlas-properties-cookie- external-check- gid- group- h1-case-adjust- h1-case-adjust-file- hard-stop-after- insecure-fork-wanted- insecure-setuid-wanted- issuers-chain-path- localpeer- log- log-send-hostname- log-tag- lua-load- lua-prepend-path- mworker-max-reloads- nbproc- nbthread- node- pidfile- pp2-never-send-local- presetenv- resetenv- set-dumpable- setenv- ssl-default-bind-ciphers- ssl-default-bind-ciphersuites- ssl-default-bind-curves- ssl-default-bind-options- ssl-default-server-ciphers- ssl-default-server-ciphersuites- ssl-default-server-options- ssl-dh-param-file- ssl-server-verify- ssl-skip-self-issued-ca- stats- strict-limits- uid- ulimit-n- unix-bind- unsetenv- user- wurfl-cache-size- wurfl-data-file- wurfl-information-list- wurfl-information-list-separator* 性能调优- busy-polling- max-spread-checks- maxcompcpuusage- maxcomprate- maxconn- maxconnrate- maxpipes- maxsessrate- maxsslconn- maxsslrate- maxzlibmem- noepoll- noevports- nogetaddrinfo- nokqueue- nopoll- noreuseport- nosplice- profiling.tasks- server-state-base- server-state-file- spread-checks- ssl-engine- ssl-mode-async- tune.buffers.limit- tune.buffers.reserve- tune.bufsize- tune.chksize- tune.comp.maxlevel- tune.fail-alloc- tune.fd.edge-triggered- tune.h2.header-table-size- tune.h2.initial-window-size- tune.h2.max-concurrent-streams- tune.h2.max-frame-size- tune.http.cookielen- tune.http.logurilen- tune.http.maxhdr- tune.idle-pool.shared- tune.idletimer- tune.lua.forced-yield- tune.lua.maxmem- tune.lua.service-timeout- tune.lua.session-timeout- tune.lua.task-timeout- tune.maxaccept- tune.maxpollevents- tune.maxrewrite- tune.pattern.cache-size- tune.pipesize- tune.pool-high-fd-ratio- tune.pool-low-fd-ratio- tune.rcvbuf.client- tune.rcvbuf.server- tune.recv_enough- tune.runqueue-depth- tune.sched.low-latency- tune.sndbuf.client- tune.sndbuf.server- tune.ssl.cachesize- tune.ssl.capture-cipherlist-size- tune.ssl.default-dh-param- tune.ssl.force-private-cache- tune.ssl.keylog- tune.ssl.lifetime- tune.ssl.maxrecord- tune.ssl.ssl-ctx-cache-size- tune.vars.global-max-size- tune.vars.proc-max-size- tune.vars.reqres-max-size- tune.vars.sess-max-size- tune.vars.txn-max-size- tune.zlib.memlevel- tune.zlib.windowsize* 调试- debug- quiet- zero-warning

用于提供设备检测服务的 51Degrees 数据文件的路径。该文件应该是解压缩的，并且 HAProxy 具有相关权限可以访问。请注意，此选项仅在 HAProxy 编译时启用了 USE_51DEGREES 的情况下可用。

要从数据集中加载的 51Degrees 属性名称列表。完整的名称列表可在 51Degrees 网站上找到：https://51degrees.com/resources/property-dictionary 请注意，此选项仅在 HAProxy 编译时启用了 USE_51DEGREES 的情况下可用。

一个字符，将附加到包含 51Degrees 结果的响应头中每个属性值的末尾。如果未设置，则默认为 ','。请注意，此选项仅在 HAProxy 编译时启用了 USE_51DEGREES 的情况下可用。

将 51Degrees 转换器缓存的大小设置为 <数字> 个条目。这是一个 LRU 缓存，用于记录以前的设备检测及其结果。默认情况下，此缓存是禁用的。请注意，此选项仅在 HAProxy 编译时启用了 USE_51DEGREES 的情况下可用。

当使用“ca-file
此关键字在以下部分可用：
Bind options
Server and default-server options”、“ca-verify-file”或“crl-file
此关键字在以下部分可用：
Bind options
Server and default-server options”指令使用相对路径时，指定一个默认目录来获取SSL CA证书和CRL。在“ca-file
此关键字在以下部分可用：
Bind options
Server and default-server options”、“ca-verify-file”和“crl-file
此关键字在以下部分可用：
Bind options
Server and default-server options”中指定的绝对位置优先，并忽略“ca-base”。

在降低权限之前，将当前目录更改为 <jail dir> 并在那里执行 chroot()。这提高了安全级别，以防未知漏洞被利用，因为它会使攻击者很难利用系统。这仅在进程以超级用户权限启动时有效。确保 <jail_dir> 既为空又对任何人不可写非常重要。

在Linux 2.6及以上版本中，可以将进程或线程绑定到特定的CPU集。这意味着该进程或线程永远不会在其他CPU上运行。“cpu-map”指令为进程或线程集指定CPU集。第一个参数是进程集，后面可以跟线程集。这些集合的格式为all | odd | even | number[-[number]] <number>>必须是1到32或64之间的数字，具体取决于机器的字长。任何大于nbproc的进程ID和大于nbthread的线程ID都会被忽略。可以使用两个由连字符（'-'）分隔的数字指定一个范围。还可以使用“all”指定所有进程，“odd”指定奇数，“even”指定偶数，就像使用“bind-process”指令一样。第二个及后续参数是CPU集。每个CPU集要么是0到31或63之间的唯一数字，要么是由连字符（'-'）分隔的两个此类数字的范围。可以指定多个CPU编号或范围，并且进程或线程将可以绑定到所有这些CPU。显然，可以指定多个“cpu-map”指令。每个“cpu-map”指令在重叠时将替换之前的指令。线程将被绑定到其映射和它所附着的进程映射的交集上。如果交集为空，则不会为该线程设置特定绑定。范围可以部分定义。上限可以省略。在这种情况下，它将被相应的最大值替换，即32或64，取决于机器的字长。可以在进程集之前添加前缀“auto:”，让HAProxy通过递增进程/线程和CPU集来自动将进程或线程绑定到CPU。为了有效，两个集合的大小必须相同。无论CPU集的声明顺序如何，它都将从最低绑定到最高绑定。具有带“auto:”前缀的进程和线程范围是不支持的。只支持一个范围，另一个必须是固定数字。

cpu-map 1-4 0-3 # 将进程 1 到 4 绑定到前 4 个 CPU cpu-map 1/all 0-3 # 将第一个进程的所有线程绑定到 # 前 4 个 CPU cpu-map 1- 0- # 将被替换为 "cpu-map 1-64 0-63" # 或 "cpu-map 1-32 0-31"，具体取决于机器的 # 字大小。 # 所有这些行都将进程 1 绑定到 CPU 0，进程 2 绑定到 CPU 1 # 以此类推。 cpu-map auto:1-4 0-3 cpu-map auto:1-4 0-1 2-3 cpu-map auto:1-4 3 2 1 0 # 所有这些行都将线程 1 绑定到 CPU 0，线程 2 绑定到 CPU 1 # 以此类推。 cpu-map auto:1/1-4 0-3 cpu-map auto:1/1-4 0-1 2-3 cpu-map auto:1/1-4 3 2 1 0 # 使用 all/odd/even 关键字将每个进程绑定到恰好一个 CPU cpu-map auto:all 0-63 cpu-map auto:even 0-31 cpu-map auto:odd 32-63 # 无效的 cpu-map，因为进程和 CPU 集合大小不同。 cpu-map auto:1-4 0 # 无效 cpu-map auto:1 0-3 # 无效 # 无效的 cpu-map，因为自动绑定与进程范围一起使用 # 和线程范围。 cpu-map auto:all/all 0 # 无效 cpu-map auto:all/1-4 0 # 无效 cpu-map auto:1-4/all 0 # 无效

当使用 "crtfile" 或 "crt
此关键字在以下部分可用：
绑定选项
服务器和默认服务器选项" 指令并提供相对路径时，指定一个用于获取 SSL 证书的默认目录。指定的绝对位置优先，并忽略 "crt-base"。

使进程 fork 到后台运行。这是推荐的操作模式。它等同于命令行参数 "-D"。它可以通过命令行参数 "-db" 禁用。此选项在 systemd 模式下被忽略。

添加描述实例的文本。请注意，需要转义某些字符（例如 #），并且此文本将插入 HTML 页面中，因此您应避免使用“<”和“>”字符。

设置要由 API 加载的 DeviceAtlas JSON 数据文件的路径。该路径必须是一个有效的 JSON 数据文件，并且 HAProxy 进程可以访问。

设置 API 返回的信息级别。此指令是可选的，如果未设置，则默认为 0。

设置用于检测请求期间是否使用了 DeviceAtlas 客户端组件的客户端 cookie 名称。此指令是可选的，如果未设置，则默认为 DAPROPS。

允许使用外部代理执行健康检查。出于安全考虑，此功能默认禁用，即使启用，检查仍可能失败，除非也启用了“insecure-fork-wanted”。如果启动的程序使用了 setuid 可执行文件（它真的不应该这样做），您可能还需要在全局部分设置“insecure-setuid-wanted”。请参阅“option external-check”、“insecure-fork-wanted”和“insecure-setuid-wanted”。

将进程的组 ID 更改为 <number>。建议将组 ID 专用给 HAProxy 或一小组类似的守护进程。HAProxy 必须以属于此组的用户或以超级用户权限启动。请注意，如果 haproxy 是从拥有附加组的用户启动的，则只有在以超级用户权限启动时才能放弃这些组。另请参阅“group
此关键字在以下节中可用：
进程管理与安全
用户列表
程序
绑定选项”和“uid
此关键字在以下节中可用：
进程管理与安全
绑定选项”。

与“gid
此关键字在以下节中可用：
进程管理与安全
绑定选项”类似，但使用来自 /etc/group 的组名 <group name> 的 GID。另请参阅“gid
此关键字在以下节中可用：
进程管理与安全
绑定选项”和“user
此关键字在以下节中可用：
进程管理与安全
用户列表
程序
绑定选项”。

定义在启用时应用于报头名称 <from> 的大小写调整，将其更改为 <to>，然后再将其发送到 HTTP/1 客户端或服务器。<from> 必须是小写，并且 <from> 和 <to> 除了大小写之外不得有任何区别。如果需要调整多个报头名称，则可以重复使用。不允许重复条目。如果需要调整大量报头名称，使用“h1-case-adjust-file”可能更方便。请注意，除非在代理中指定了“option h1-case-adjust-bogus-client”或“option h1-case-adjust-bogus-server”，否则不会应用任何转换。报头名称没有标准的大小写，因为如 RFC7230 所述，它们是大小写不敏感的。因此，应用程序必须以大小写不敏感的方式处理它们。但某些不符合标准的应用程序会错误地依赖于浏览器最常用的大小写。此问题在 HTTP/2 中变得至关重要，因为所有报头名称都必须以小写形式交换，HAProxy 也遵循相同的约定。无论 HTTP 版本如何，所有报头名称都以小写形式发送给客户端和服务器。未能正确处理请求或响应的应用程序可能需要暂时使用此类解决方法来调整发送给它们的报头名称，以便应用程序能够及时修复。请注意，需要此类解决方法的应用程序可能容易受到内容伪装攻击，并且绝对必须进行修复。

global h1-case-adjust content-length Content-Length

请参阅 "h1-case-adjust-file"、"option h1-case-adjust-bogus-client" 和 "option h1-case-adjust-bogus-server"。

定义一个文件，其中包含用于在将某些报头名称发送到 HTTP/1 客户端或服务器之前调整其大小写的键/值对列表。文件 <hdrs-file> 必须每行包含 2 个报头名称。第一个必须是小写，并且两者除了大小写之外不得有任何区别。以“#”开头的行和空行一样被忽略。将剥离前导和尾随的制表符和空格。不允许重复条目。请注意，除非在代理中指定了“option h1-case-adjust-bogus-client”或“option h1-case-adjust-bogus-client”，否则不会应用任何转换。如果重复使用此指令，将只处理最后一个。如果需要调整大量报头名称，它是指令“h1-case-adjust”的替代项。请阅读使用此项的风险。请参阅“h1-case-adjust”、“option h1-case-adjust-bogus-client”和“option h1-case-adjust-bogus-server”。

定义执行干净的软停止所允许的最长时间。

<time> 是实例在通过 SIGUSR1 信号接收到软停止时将保持活动的最长时间（默认为毫秒）。

这可用于确保即使在软停止期间连接保持打开（例如，在 tcp 模式下为代理设置了长超时），实例也会退出。它适用于 TCP 和 HTTP 模式。

global hard-stop-after 30s

默认情况下，haproxy 会尽力阻止在启动后创建任何线程和进程。这样做在处理来源不明的 Lua 文件以及尝试使用可能仍包含可利用性不确定错误的开发版本时尤为重要。总的来说，确保流量不会触发任何意外的后台活动是良好的做法。但这会阻止外部检查工作，并且可能会破坏一些积极依赖于 fork 能力的非常特定的 Lua 脚本。此选项用于禁用此保护。请注意，禁用它是不可取的，因为一旦禁用，库或 haproxy 本身中的漏洞将更容易被利用。此外，从 Lua 或其他地方进行 fork 并不可靠，因为 fork 的进程可能会随机嵌入另一个线程设置的锁，并且永远无法完成操作。因此，强烈建议不要使用此选项，并且应该重新考虑任何需要此类 fork 的工作负载，并将其移至更安全的解决方案（例如，使用代理而不是外部检查）。此选项支持“no”前缀来禁用它。

HAProxy 在运行时不需要调用可执行文件（除非使用强烈不推荐的外部检查），并且应该将自身隔离到一个空的 chroot 环境中。因此，在用户没有完全意识到风险的情况下，几乎没有有效理由允许调用 setuid 可执行文件。在 haproxy 需要调用外部检查和/或禁用 chroot 的情况下，利用库或 haproxy 本身的漏洞可能会导致执行外部程序。在 Linux 上，可以锁定进程，从而忽略此可执行文件上的任何 setuid 位。这在这种情况大大降低了权限提升的风险。HAProxy 默认这样做。如果这给外部检查带来了问题（例如，需要“ping”命令的外部检查），则可以通过在全局节中显式添加此指令来禁用此保护。如果启用，可以通过在其前面加上“no”关键字来将其关闭。

分配一个目录以加载证书链以进行发行者补全。所有文件必须是 PEM 格式。对于使用“crt
此关键字在以下节中可用：
绑定选项
服务器和默认服务器选项”或“crt-list”加载的证书，如果证书链未包含在 PEM 中（也通常称为中间证书），则如果证书的发行者对应于使用“issuers-chain-path”加载的链中的第一个证书，haproxy 将会补全链。使用“crt
此关键字在以下节中可用：
绑定选项
服务器和默认服务器选项”文件（包含 PrivateKey+Certificate+IntermediateCA2+IntermediateCA1）可能被 PrivateKey+Certificate 替换。如果文件（包含 IntermediateCA2+IntermediateCA1）存在于“issuers-chain-path”目录中，HAProxy 将补全链。所有具有相同发行者的其他证书将在内存中共享此链。此选项仅适用于从 bind 行使用的证书。

设置本地实例的对等名称。如果指定了 "-L" 命令行参数或在 "peers" 部分定义之后使用，它将被忽略。在这种情况下，在配置解析期间将发出警告消息。此选项还将设置 HAPROXY_LOCALPEER 环境变量。另请参阅管理指南中的 "-L" 和下面的 "peers" 部分。

添加一个全局 syslog 服务器。可以定义多个全局服务器。它们将接收启动和退出的日志，以及使用“log global”配置的所有代理的日志。<address> 可以是以下之一： - IPv4 地址，后面可选地跟着冒号和 UDP 端口。如果未指定端口，则默认使用 514（标准 syslog 端口）。 - IPv6 地址，后面跟着冒号和可选的 UDP 端口。如果未指定端口，则默认使用 514（标准 syslog 端口）。 - 到 datagram UNIX 域套接字的本地文件系统路径，并考虑 chroot（确保路径在 chroot 内可访问）和 uid/gid（确保路径具有适当的写入权限）。 - 文件描述符编号，形式为“fd@<number>”，它可能指向管道、终端或套接字。在这种情况下，将使用无缓冲日志，并且每个日志执行一次 writev() 调用。这有点昂贵，但对于大多数工作负载来说是可以接受的。通过这种方式发送的消息不会被截断，但可能会被丢弃，在这种情况下，DroppedLogs 计数器将递增。writev() 调用即使在管道上对于最大为 PIPE_BUF 大小的消息也是原子的，POSIX 建议至少为 512，在大多数现代操作系统上为 4096 字节。任何更大的消息可能会与其他进程的消息交错。作为调试目的的例外，文件描述符也可以指向一个文件，但这将大大减慢 haproxy 的速度，因为会忽略非阻塞调用。此外，如果没有重新启动进程，将无法清除或轮换此文件。请注意，配置的 syslog 格式会保留，因此输出适用于 TCP syslog 服务器。另请参阅下面的“short”和“raw”格式。 - “stdout”/“stderr”，它们分别是“fd@1”和“fd@2”的别名，请参阅上文。 - 形式为“ring@<name>”的环形缓冲区，它将对应于可通过 CLI 使用“show events”命令访问的内存环形缓冲区，该命令还将列出现有环形缓冲区及其大小。此类缓冲区在重新加载或重新启动时会丢失，但当作为补充使用时，可以通过即时可用的日志来帮助故障排除。您可能希望在地址参数中引用某些环境变量，有关环境变量的更多信息，请参阅 第 2.3 节。<length> 是可选的最大行长度。大于此值的日志行将在发送前被截断。原因是 syslog 服务器对日志行长度的处理方式不同。所有服务器都支持 1024 的默认值，但某些服务器会丢弃较长的行，而另一些则会记录它们。如果服务器支持长行，在此处设置此值以避免截断长行可能很有意义。同样，如果服务器丢弃长行，最好在发送它们之前截断它们。可接受的值为 80 到 65535（含）。1024 的默认值对于所有标准用法通常都很好。某些特殊情况下的长捕获或 JSON 格式的日志可能需要更大的值。如果您的请求 URI 被截断，您可能还需要增加“tune.http.logurilen”。<format> 是生成 syslog 消息时使用的日志格式。它可以是以下之一： rfc3164 RFC3164 syslog 消息格式。这是默认值。（https://tools.ietf.org/html/rfc3164） rfc5424 RFC5424 syslog 消息格式。（https://tools.ietf.org/html/rfc5424） short 包含角度括号之间的级别（例如“<3>”）的消息，后跟文本。将省略 PID、日期、时间、进程名称和系统名称。此格式旨在与本地日志服务器一起使用。此格式与 systemd 日志记录器消耗的内容兼容。raw 仅包含文本的消息。将省略级别、PID、日期、时间、进程名称和系统名称。此格式旨在在容器中使用或在开发期间使用，其中严重性仅取决于使用的文件描述符（stdout/stderr）。<ranges> 用于标识要采样的日志的逗号分隔范围列表。用于平衡发送到日志服务器的日志负载。范围的限制不能为 null。它们从 1 开始编号。样本的大小或周期（日志数）必须使用 <sample_size> 参数设置。<sample_size> 考虑用于平衡日志记录负载的样本大小（以日志数为单位）。它用于平衡发送到 syslog 服务器的日志负载。此大小必须大于或等于范围的高限的最大值（另请参阅 <ranges> 参数）。<facility> 必须是 24 个标准 syslog 设施之一： kern user mail daemon auth syslog lpr news uucp cron auth2 ftp ntp audit alert cron2 local0 local1 local2 local3 local4 local5 local6 local7 请注意，对于“short”和“raw”格式，会忽略 facility，但仍然需要将其作为位置字段。在这种情况下，建议使用“daemon”以清楚地表明它仅供本地使用。可以指定可选级别来过滤传出的消息。默认情况下，发送所有消息。如果指定了最大级别，则只有严重性至少与该级别一样重要的消息才会被发送。可以指定可选的最小级别。如果设置了此级别，则严重性比此级别更高的日志将被限制在此级别。这用于避免在某些默认 syslog 配置上将“emerg”消息发送到所有终端。已知有八个级别： emerg alert crit err warning notice info debug

设置 syslog 报头中的 hostname 字段。如果设置了可选的 "string" 参数，则报头将设置为该字符串内容，否则使用系统的主机名。通常在不通过中间 syslog 服务器中继日志或仅为自定义日志中打印的主机名时使用。

将 syslog 报头中的 tag 字段设置为此字符串。它默认为从命令行启动的程序名，通常是 "haproxy"。有时，区分同一主机上运行的多个进程会很有用。另请参阅每个代理的 "log-tag
This keyword is available in sections :
Process management and security
Alphabetically sorted keywords reference" 指令。

此全局指令加载并执行一个 Lua 文件。此指令可以多次使用。

在 Lua 的 package.<type> 变量前面加上给定的字符串，后跟一个分号。<type> 必须是“path”或“cpath”。如果未给出 <type>，则默认为“path”。Lua 的路径是由模式组成的分号分隔列表，这些模式指定 `require` 函数如何尝试查找库的源文件。模式中的问号 (?) 将被替换为模块名称。路径从左到右求值。这意味着稍后添加的路径将被更早地检查。例如，通过指定以下路径： lua-prepend-path /usr/share/haproxy-lua/?/init.lua lua-prepend-path /usr/share/haproxy-lua/?.lua 当调用 `require "example"` 时，Lua 将首先尝试加载 /usr/share/haproxy-lua/example.lua 脚本，如果该脚本不存在，则尝试加载 /usr/share/haproxy-lua/example/init.lua，如果这些都不存在，则尝试默认路径。有关 Lua 文档中的详细信息，请参阅 https://lua.ac.cn/pil/8.1.html。

主-工作者模式。它等同于命令行参数“-W”。此模式将启动一个“主进程”，该进程将监控“工作进程”。使用此模式，您可以通过向主进程发送 SIGUSR2 信号来直接重新加载 HAProxy。主-工作者模式与前台或守护进程模式兼容。建议在多进程和 systemd 环境下使用此模式。默认情况下，如果一个工作进程以错误的返回码退出，例如在发生段错误的情况下，所有工作进程都将被杀死，主进程将退出。将此行为与 systemd 单元文件中的 Restart=on-failure 结合使用，以重新启动整个进程是很方便的。如果您不希望有此行为，则必须使用关键字“no-exit-on-failure”。另请参见管理指南中的“-W”。

在主-从模式下，此选项限制了工作进程可以承受的重载次数。如果工作进程在重载后没有退出，一旦其重载次数大于此数字，该工作进程将收到一个 SIGTERM 信号。此选项有助于控制工作进程的数量。另请参阅管理指南中的“show proc”。

创建 <number> 个进程以进入 daemon 模式。这需要“daemon”模式。默认情况下，只创建一个进程，这是推荐的操作模式。对于文件描述符数量有限的系统，可能需要派生多个守护进程。当设置为大于 1 的值时，线程会自动禁用。使用多个进程更难调试，并且强烈不推荐。另请参阅“daemon”和“nbthread”。

仅当启用了线程支持时，此设置才可用。它使 haproxy 在 <number> 个线程上运行。这与“nbproc
此关键字在以下节中可用：
进程管理与安全
从内部状态获取样本”互斥。虽然“nbproc
此关键字在以下节中可用：
进程管理与安全
从内部状态获取样本”在历史上是使用多个处理器唯一的方式，但它也带来了一些与进程之间缺乏同步相关的问题（健康检查、对等节点、stick-tables、stats 等），而这些问题不会影响线程。因此，强烈建议任何现代配置都从“nbproc
此关键字在以下节中可用：
进程管理与安全
从内部状态获取样本”迁移到“nbthread”。“nbthread”在 HAProxy 以前台模式启动时也有效。在某些支持 CPU 亲和性的平台上，当未使用 nbproc 时，默认的“nbthread”值会自动设置为进程启动时绑定的 CPU 数量。这意味着可以通过“taskset”或“cpuset”等命令从调用进程轻松调整线程数。否则，此值默认为 1。“haproxy -vv”的输出中会报告默认值。另请参阅“nbproc
此关键字在以下节中可用：
进程管理与安全
从内部状态获取样本”。

将所有守护进程的 PID 写入文件 <pidfile>。此选项等同于“-p”命令行参数。该文件必须对启动进程的用户可访问。另请参阅“daemon”。

PROXY 协议 v2 实现中的一个错误存在于 HAProxy 2.1 之前的版本中，导致它为健康检查发出 PROXY 命令而不是 LOCAL 命令。这问题特别微小，但会混淆一些服务器的日志。遗憾的是，这个错误发现得很晚，并揭示出一些可能只针对 HAProxy 测试其 PROXY 协议实现的服务器无法正确处理 LOCAL 命令，并在 HAProxy 检查它们时永久保持在 "down" 状态。当这种情况发生时，可以启用此全局选项以恢复到旧的（错误的）行为，直到联系受影响组件的供应商并修复它们。此选项默认禁用，并作用于所有具有 "send-proxy-v2" 语句的服务器。

将环境变量 <name> 设置为值 <value>。如果该变量已存在，则不会被覆盖。更改会立即生效，以便配置文件中的下一行可以看到新值。另请参阅 "setenv"、"resetenv" 和 "unsetenv"。

删除除参数中指定的环境变量之外的所有环境变量。它允许在使用 setenv 或 unsetenv 设置新值之前，使用一个干净受控的环境。请注意，一些内部函数可能会使用某些环境变量，例如时间操作函数，以及 OpenSSL 甚至外部检查。此命令必须极其小心使用，并且只能在完全验证后使用。更改会立即生效，因此配置文件中的下一行将看到新的环境。另请参阅 “setenv”、“presetenv” 和 “unsetenv”。

将统计套接字限制为一组特定的进程号。默认情况下，统计套接字绑定到所有进程，当 nbproc 大于 1 时会发出警告，因为连接时无法选择目标进程。但是，通过使用此设置，可以将统计套接字固定到一组特定的进程，通常是第一个进程。使用此设置后，无论使用多少个进程，警告都将自动禁用。最大进程 ID 取决于机器的字长（32 位或 64 位）。范围可以部分定义。可以省略上限。在这种情况下，它将被相应的最大值替换。一个更好的选择是在“stats socket”行的“process”设置中强制指定每行的进程。

指定目录前缀，该前缀将附加在所有不以“/”开头的服务器状态文件名前面。另请参阅 "server-state-file"、"load-server-state-from-file" 和 "server-state-file-name"。

指定包含服务器状态的文件路径。如果路径以斜杠（'/'）开头，则视为绝对路径，否则视为相对于使用 "server-state-base" 指定的目录（如果已设置）或当前目录。在重新加载 HAProxy 之前，可以使用统计命令 "show servers state" 保存服务器的当前状态。该命令的输出必须写入 <file> 指向的文件中。启动时，在处理流量之前，HAProxy 将读取、加载并应用文件中找到且在其当前运行配置中可用的每个服务器的状态。另请参阅 "server-state-base" 和 "show servers state"、"load-server-state-from-file" 和 "server-state-file-name"。

此选项默认最好禁用，并仅在开发人员请求时启用。如果已启用，仍可通过在其前面加上“no”关键字强制禁用。它对性能或稳定性没有影响，但会尽力重新启用可能已被文件大小限制 (ulimit -f)、核心大小限制 (ulimit -c) 或进程在更改 UID/GID 后（例如 Linux 上的 /proc/sys/fs/suid_dumpable）的“可转储性”所禁用的核心转储。核心转储仍可能受当前目录权限（检查文件是从哪个目录开始的）、chroot 目录权限（可能需要暂时禁用 chroot 指令或将其移动到专用可写位置）或任何其他系统特定约束的限制。例如，某些 Linux 发行版以替换默认核心文件为系统中未安装的可执行文件的路径而闻名（检查 /proc/sys/kernel/core_pattern）。通常，简单地写入“core”、“core.%p”或“/var/log/core/core.%p”可以解决问题。在尝试启用此选项以等待罕见问题再次出现时，通常最好先通过向“haproxy”进程发出例如“kill -11”来获取此类转储，并验证它在终止时会在预期位置留下一个核心文件。

将环境变量 <name> 设置为值 <value>。如果该变量存在，则会被覆盖。更改会立即生效，因此配置文件中的下一行将看到新的值。另请参阅 “presetenv”、“resetenv” 和 “unsetenv”。

仅当启用了 OpenSSL 支持时，此设置才可用。它设置了描述在 SSL/TLS 握手中为所有不明确定义密码套件的“bind
此关键字在以下节中可用：
对等节点
按字母顺序排序的关键字参考”行协商的密码算法（“密码套件”）的默认字符串，直到 TLSv1.2。字符串的格式定义在 OpenSSL man 页的“man 1 ciphers”中。有关背景信息和建议，请参阅例如 (https://wiki.mozilla.org/Security/Server_Side_TLS) 和 (https://mozilla.github.io/server-side-tls/ssl-config-generator/)。有关 TLSv1.3 密码配置，请参阅“ssl-default-bind-ciphersuites”关键字。有关更多信息，请参阅“bind
此关键字在以下节中可用：
对等节点
按字母顺序排序的关键字参考”关键字。

仅当启用了 OpenSSL 支持并使用 OpenSSL 1.1.1 或更高版本构建 HAProxy 时，此设置才可用。它设置了描述在 TLSv1.3 握手中为所有不明确定义密码套件的“bind
此关键字在以下节中可用：
对等节点
按字母顺序排序的关键字参考”行协商的密码算法（“密码套件”）的默认字符串。字符串的格式定义在 OpenSSL man 页的“ciphersuites
此关键字在以下节中可用：
绑定选项
服务器和默认服务器选项”部分中。有关 TLSv1.2 及更早版本的密码配置，请参阅“ssl-default-bind-ciphers”关键字。此设置可能接受 TLSv1.2 密码套件，但这是一种未记录的行为，不推荐，因为它可能不一致或存在错误。OpenSSL 的默认 TLSv1.3 密码套件是：“TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256”。TLSv1.3 只支持 5 个密码套件： - TLS_AES_128_GCM_SHA256 - TLS_AES_256_GCM_SHA384 - TLS_CHACHA20_POLY1305_SHA256 - TLS_AES_128_CCM_SHA256 - TLS_AES_128_CCM_8_SHA256 有关更多信息，请参阅“bind
此关键字在以下节中可用：
对等节点
按字母顺序排序的关键字参考”关键字。

global ssl-default-bind-ciphers ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-RSA-AES128-GCM-SHA256 ssl-default-bind-ciphersuites TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256

仅当启用了 OpenSSL 支持时，此设置才可用。它设置了描述在与 ECDHE 进行 SSL/TLS 握手期间协商的椭圆曲线算法（“曲线套件”）的默认字符串。字符串的格式是冒号分隔的曲线名称列表。有关更多信息，请参阅“bind
此关键字在以下节中可用：
对等节点
按字母顺序排序的关键字参考”关键字。

仅当启用了 OpenSSL 支持时，此设置才可用。它为所有“bind
此关键字在以下部分可用：
Peers
按字母顺序排序的关键字参考”行设置了要强制使用的默认 ssl-options。有关可用选项，请检查“bind
此关键字在以下部分可用：
Peers
按字母顺序排序的关键字参考”关键字。

global ssl-default-bind-options ssl-min-ver TLSv1.0 no-tls-tickets

仅当启用了 OpenSSL 支持时，此设置才可用。它设置了描述在与服务器进行 SSL/TLS 握手中协商的密码算法的默认字符串，直到 TLSv1.2，适用于所有不明确定义其密码套件的“server
此关键字在以下节中可用：
对等节点
环
按字母顺序排序的关键字参考”行。字符串的格式定义在 OpenSSL man 页的“man 1 ciphers”中。有关背景信息和建议，请参阅例如 (https://wiki.mozilla.org/Security/Server_Side_TLS) 和 (https://mozilla.github.io/server-side-tls/ssl-config-generator/)。有关 TLSv1.3 密码配置，请参阅“ssl-default-server-ciphersuites”关键字。有关更多信息，请参阅“server
此关键字在以下节中可用：
对等节点
环
按字母顺序排序的关键字参考”关键字。

仅当启用了 OpenSSL 支持并使用 OpenSSL 1.1.1 或更高版本构建 HAProxy 时，此设置才可用。它设置了描述在与服务器进行 TLSv1.3 握手中协商的密码算法的默认字符串，适用于所有不明确定义其密码套件的“server
此关键字在以下节中可用：
对等节点
环
按字母顺序排序的关键字参考”行。字符串的格式定义在 OpenSSL man 页的“ciphersuites
此关键字在以下节中可用：
绑定选项
服务器和默认服务器选项”部分中。有关 TLSv1.2 及更早版本的密码配置，请参阅“ssl-default-server-ciphers”关键字。有关更多信息，请参阅“server
此关键字在以下节中可用：
对等节点
环
按字母顺序排序的关键字参考”关键字。

仅当启用了 OpenSSL 支持时，此设置才可用。它为所有不明确定义其 ssl-options 的“server
此关键字在以下节中可用：
对等节点
环
按字母顺序排序的关键字参考”行强制设置默认的 ssl-options。有关可用选项，请参阅“server
此关键字在以下节中可用：
对等节点
环
按字母顺序排序的关键字参考”关键字。

仅当启用了 OpenSSL 支持时，此设置才可用。它设置了用于在 SSL/TLS 握手中进行带外 Diffie-Hellman (DHE) 密钥交换的默认 DH 参数，适用于所有不明确定义其 DH 参数的“bind
此关键字在以下节中可用：
对等节点
按字母顺序排序的关键字参考”行。如果证书文件中有自定义 DH 参数，它将被覆盖。如果未使用 ssl-dh-param-file 指定自定义 DH 参数，或者未在证书文件中直接设置它们，则将使用 tune.ssl.default-dh-param 指定大小的预生成 DH 参数。自定义参数已知更安全，因此建议使用它们。自定义 DH 参数可以通过使用 OpenSSL 命令“openssl dhparam <size>”生成，其中 size 至少应为 2048，因为 1024 位 DH 参数不应再被视为安全。

此设置会更改 HAProxy 在加载与“bind
此关键字可在以下部分中使用：
Peers
按字母顺序排序的关键字参考”行关联的 SSL 证书时查找未指定文件的行为。它不适用于“server
此关键字可在以下部分中使用：
Peers
Rings
按字母顺序排序的关键字参考”行上用于客户端身份验证的证书。默认情况下，HAProxy 会自动发现配置中未指定的许多文件，如果您想优化启动时间，可以禁用此行为。“none”：仅加载配置文件中指定的文件。如果文件不存在，则不会尝试加载证书捆绑包。对于目录，如果证书具有相同的基本名称，则不会尝试捆绑证书。“all”：这是默认行为，它会尝试加载所有内容，包括捆绑包、sctl、ocsp、issuer、key。“bundle”：当配置文件中指定的文件不存在时，HAProxy 会尝试加载证书捆绑包。这是通过查找 <basename>.rsa、.ecdsa 和 .dsa 来实现的。对于目录，HAProxy 会尝试将具有相同基本名称的文件收集到一个多证书捆绑包中。捆绑包是在 OpenSSL 1.0.2 中引入的，当时是加载具有相同 SNI 的 ECDSA 证书和 RSA 证书的唯一方法。自 OpenSSL 1.1.1 起，已不再推荐使用此方法，您可以在 bind 行上指定 ECDSA 和 RSA 文件。“sctl”：尝试为每个 crt 关键字加载“<basename>.sctl”。“ocsp”：尝试为每个 crt 关键字加载“<basename>.ocsp”。“issuer”：如果 PEM 文件中未提供 OCSP 文件的颁发者，则尝试加载“<basename>.issuer”。“key”：如果 PEM 文件未提供私钥，则尝试加载一个包含私钥的文件“<basename>.key”。默认行为是“all”。

ssl-load-extra-files bundle sctl ssl-load-extra-files sctl ocsp issuer ssl-load-extra-files none

服务器端 SSL 验证的默认行为。如果指定为 'none'，则不验证服务器证书。默认值为 'required'，除非使用命令行选项 '-dV' 强制指定。

自签发 CA，即 x509 根 CA，是证书链验证的锚点：作为服务器发送它是无用的，客户端必须拥有它。标准配置需要不在 PEM 文件中包含此类 CA。此选项允许您在 PEM 文件中保留此类 CA 而不将其发送给客户端。用例是为 ocsp 提供颁发者，而无需“.issuer”文件，并能够与“issuers-chain-path”共享它。这涉及所有没有中间证书的证书。对于 BoringSSL 来说是无用的，.issuer 被忽略，因为 ocsp 位不需要它。至少需要 OpenSSL 1.0.2。

默认情况下，统计套接字限制为 10 个并发连接。可以使用 "stats maxconn" 更改此值。

将 UNIX 套接字绑定到 <path> 或 TCPv4/v6 地址到 <address:port>。连接到此套接字将返回各种统计信息输出，甚至允许发出一些命令来更改一些运行时设置。有关详细信息，请参阅管理指南的第 9.3 节“Unix 套接字命令”。“bind
此关键字在以下部分可用：
Peers
按字母顺序排序的关键字参考”行支持的所有参数均可用于此，例如限制某些用户或其访问权限。有关更多信息，请参阅第 5.1 节。

统计套接字的默认超时时间设置为 10 秒。可以使用 "stats timeout" 更改此值。该值必须以毫秒为单位传递，或者带有时间单位后缀，如 { us, ms, s, m, h, d }。

当 setrlimit 失败时，使进程在启动时失败。HAProxy 会根据计算结果尝试设置最佳的 setrlimit。如果失败，它将发出警告。此选项旨在保证当这些限制失败时 HAProxy 明确失败。它默认启用。仍可通过在其前添加“no”关键字来强制禁用它。

将进程的用户 ID 更改为 <number>。建议将用户 ID 专用于 HAProxy 或一小组类似的守护进程。HAProxy 必须以超级用户权限启动才能切换到另一个用户 ID。另请参阅“gid
此关键字可在以下部分中使用：
进程管理和安全
Bind 选项”和“user
此关键字可在以下部分中使用：
进程管理和安全
用户列表
程序
Bind 选项”。

将每个进程的最大文件描述符数设置为 <number>。默认情况下，它是自动计算的，因此建议不要使用此选项。

修复了在“bind
此关键字可在以下部分中使用：
Peers
按字母顺序排序的关键字参考”语句中声明的 UNIX 套接字的一些常见设置。这主要用于简化这些 UNIX 套接字的声明，并降低出错风险，因为这些设置通常是必需的，但也是进程特定的。<prefix> 设置可用于强制所有套接字路径相对于该目录。为了访问另一个组件的 chroot，可能需要这样做。请注意，这些路径在 haproxy chroot 之前解析，因此它们是绝对路径。“<mode>”、“<user>”、“<uid>”、“<group>”和“<gid>”的含义与它们在“bind
此关键字可在以下部分中使用：
Peers
按字母顺序排序的关键字参考”语句中使用时的含义相同。如果同时指定了两者，“bind
此关键字可在以下部分中使用：
Peers
按字母顺序排序的关键字参考”语句具有优先级，这意味着“unix-bind”设置可以被视为进程范围的默认设置。

删除参数中指定的环境变量。这对于隐藏某些操作期间偶尔从用户环境中继承的一些敏感信息很有用。不存在的变量会被静默忽略，因此操作后可以确定这些变量都不再存在。更改会立即生效，因此配置文件中的下一行将看不到这些变量。另请参阅 “setenv”、“presetenv” 和 “resetenv”。

类似于“uid
此关键字可在以下部分中使用：
进程管理和安全
Bind 选项”，但它使用 /etc/passwd 中用户名为 <user name> 的用户的 UID。另请参阅“uid
此关键字可在以下部分中使用：
进程管理和安全
Bind 选项”和“group
此关键字可在以下部分中使用：
进程管理和安全
用户列表
程序
Bind 选项”。

只允许字母、数字、连字符和下划线，与 DNS 名称类似。此语句在 HA 配置中很有用，其中两个或多个进程或服务器共享相同的 IP 地址。通过在所有节点上设置不同的节点名称，可以轻松地立即发现哪个服务器正在处理流量。

设置 WURFL User-Agent 缓存大小。为了更快地查找，已处理的用户代理会保存在 LRU 缓存中：- “0”：不使用缓存。- <size>：lru 缓存的大小（以元素为单位）。请注意，此选项仅在 HAProxy 编译时带有 USE_WURFL=1 时可用。

提供设备检测服务的 WURFL 数据文件路径。该文件应由 HAProxy 访问，并具有相关权限。请注意，只有当 haproxy 使用 USE_WURFL=1 编译时，此选项才可用。

WURFL 功能、虚拟功能、我们计划在注入的标头中使用的属性名称的空格分隔列表。功能和虚拟功能名称的完整列表可在 Scientiamobile 网站上找到：https://www.scientiamobile.com/wurflCapability 有效的 WURFL 属性包括：- wurfl_id 包含匹配设备的设备 ID。- wurfl_root_id 包含匹配设备的根设备 ID。- wurfl_isdevroot 告诉匹配设备是否为根设备。可能的值为“TRUE”或“FALSE”。- wurfl_useragent 此特定 Web 请求附带的原始 useragent。- wurfl_api_version 包含表示当前使用的 Libwurfl API 版本的字符串。- wurfl_info 包含有关已解析的 wurfl.xml 及其完整路径的信息的字符串。- wurfl_last_load_time 包含 WURFL 最后一次成功加载的 Unix 时间戳。- wurfl_normalized_useragent 规范化的 useragent。请注意，仅当 haproxy 使用 USE_WURFL=1 编译时，此选项才可用。

用于分隔包含 WURFL 结果的响应标头中值的字符。如果未设置，则默认使用逗号 (',')。请注意，只有当 haproxy 使用 USE_WURFL=1 编译时，此选项才可用。

WURFL 补丁文件路径列表。请注意，补丁是在启动时加载的，因此在 chroot 之前加载。请注意，只有当 haproxy 使用 USE_WURFL=1 编译时，此选项才可用。

在某些情况下，尤其是在处理支持可变频率处理器的低延迟或在虚拟机中运行时，进程每次使用 poller 等待 I/O 时，处理器会睡眠或长时间被提供给另一个 VM，这会导致过高的延迟。此选项提供了一种防止处理器睡眠的解决方案，方法是始终对 poller 使用空超时。这会导致延迟显著降低（观察到 30 到 100 微秒），但会增加处理器过热的风险。它甚至可以与线程一起使用，在这种情况下，不正确绑定的线程可能会发生严重冲突，导致性能下降，“show info”输出中的 CPU 占用率值偏高，指示哪些线程配置错误。使用此选项时，切勿让进程与网络中断运行在同一处理器上。最好避免在共享同一核心的多个 CPU 线程上使用它。此选项默认禁用。如果已启用，仍然可以通过在前面加上“no”关键字来强制禁用它。它会被“select”和“poll” poller 忽略。在无缝重新加载期间，旧进程的此选项会自动禁用；它避免了当多个进程在一段时间内等待当前连接结束时过多的 CPU 冲突。

默认情况下，haproxy 会尝试将健康检查的开始时间分散到服务器场中所有服务器的最小健康检查间隔内。其原理是避免对同一服务器上运行的服务进行密集检查。但是当使用较大的检查间隔（10 秒或更长）时，服务器场中的最后几个服务器需要一些时间才能开始被测试，这可能是一个问题。此参数用于强制设置第一个和最后一个检查之间的延迟上限，即使服务器的检查间隔较大。当服务器以较短的间隔运行时，它们的间隔仍将得到尊重。

设置 HAProxy 在停止新请求的压缩或降低当前请求的压缩级别之前可以达到的最大 CPU 使用率。它的工作方式类似于“maxcomprate”，但测量的是 CPU 使用率而不是传入数据带宽。该值以 HAProxy 使用的 CPU 百分比表示。值 100 表示禁用限制。默认值为 100。设置较低的值将防止压缩工作减慢整个进程的速度并引入高延迟。

将每个进程的最大输入压缩速率设置为 <number> 千字节/秒。对于每个会话，如果达到最大值，会话期间的压缩级别将降低。如果在会话开始时达到最大值，该会话将完全不压缩。如果未达到最大值，压缩级别将增加到 tune.comp.maxlevel。值为零表示没有限制，这是默认值。

将每个进程的并发连接数最大值设置为 <number>。它等同于命令行参数“-n”。当达到此限制时，代理将停止接受连接。“ulimit-n”参数会根据此值自动调整。另请参阅“ulimit-n”。注意：在某些平台上，“select”轮询器无法可靠地使用超过 1024 个文件描述符。如果您的平台仅支持 select 并在启动时报告“select FAILED”，您需要减少 maxconn 直到它正常工作（通常略低于 500）。如果未设置此值，它将根据“ulimit -n”命令报告的当前文件描述符限制自动计算，如果强制执行内存限制，可能会根据缓冲区大小、分配给压缩的内存、SSL 缓存大小以及是否使用 SSL 和相关的 maxsslconn（也可以是自动的）而减少到一个较低的值。

将每个进程每秒的最大连接数设置为 <number>。当达到此限制时，代理将停止接受连接。它可以用来限制全局容量，而不考虑每个前端的容量。需要注意的是，这只能用作服务保护措施，因为当达到限制时，前端之间不一定会公平分配，所以最好也为每个前端限制一个接近其预期份额的值。此外，降低 tune.maxaccept 可以提高公平性。

将每个进程的最大管道数设置为 <number>。目前，管道仅由基于内核的 tcp 拼接使用。由于一个管道包含两个文件描述符，"ulimit-n" 值将相应增加。默认值为 maxconn/4，这对于大多数重度使用情况来说似乎已经足够了。拼接代码动态分配和释放管道，并且可以回退到标准复制，因此将此值设置得太低可能只会影响性能。

将每个进程每秒的最大会话数设置为 <number>。当达到此限制时，代理将停止接受连接。它可以用来限制全局容量，而不考虑每个前端的容量。需要注意的是，这只能用作服务保护措施，因为当达到限制时，前端之间不一定会公平分配，所以最好也为每个前端限制一个接近其预期份额的值。此外，降低 tune.maxaccept 可以提高公平性。

将每个进程的并发 SSL 连接的最大数量设置为 <number>。默认情况下，没有 SSL 特定限制，这意味着全局 maxconn 设置将适用于所有连接。设置此限制可避免 openssl 使用过多内存而崩溃（因为不幸的是，它不能可靠地检查此类条件）。请注意，此限制同时适用于传入和传出连接，因此一个解密然后加密的连接算作 2 个 SSL 连接。如果未设置此值，但强制执行了内存限制，则此值将根据内存限制、maxconn、缓冲区大小、分配给压缩的内存、SSL 缓存大小以及在前端、后端或两者中使用的 SSL 自动计算。如果内存限制未指定 maxconn 或 maxsslconn，haproxy 将自动调整这些值，以便 100% 的连接可以安全地通过 SSL 进行，并考虑启用它的方面（前端、后端、两者）。

将每个进程每秒的最大 SSL 会话数设置为 <number>。当达到此限制时，SSL 侦听器将停止接受连接。它可以用来限制全局 SSL CPU 使用率，而不考虑每个前端的容量。需要注意的是，这只能用作服务保护措施，因为当达到限制时，前端之间不一定会公平分配，所以最好也为每个前端限制一个接近其预期份额的值。同样重要的是要注意，会话是在进入 SSL 堆栈之前而不是之后计算的，这也保护了堆栈免受不良握手的影响。此外，降低 tune.maxaccept 可以提高公平性。

设置 zlib 每个进程可用的最大 RAM 量（以兆字节为单位）。当达到最大量时，只要 RAM 不可用，将来的会话将不会压缩。当设置为 0 时，没有限制。默认值为 0。该值在 UNIX 套接字上以字节为单位可用，通过 "show info" 命令的 "MaxZlibMemUsage" 行显示，zlib 使用的内存为 "ZlibMemUsage"（以字节为单位）。

禁用在 Linux 上使用 "epoll" 事件轮询系统。它等同于命令行参数 "-de"。下一个使用的轮询系统通常是 "poll"。另请参阅 "nopoll"。

在源自 Solaris 10 及更高版本的 SunOS 系统上禁用事件端口（event ports）事件轮询系统的使用。它等同于命令行参数“-dv”。下一个使用的轮询系统通常是“poll”。另请参阅“nopoll”。

禁用使用 getaddrinfo(3) 进行名称解析。它等同于命令行参数 "-dG"。将使用已弃用的 gethostbyname(3)。

禁用在 BSD 上使用 "kqueue" 事件轮询系统。它等同于命令行参数 "-dk"。下一个使用的轮询系统通常是 "poll"。另请参阅 "nopoll"。

禁用“poll”事件轮询系统的使用。它等同于命令行参数“-dp”。下一个使用的轮询系统将是“select”。通常不需要禁用“poll”，因为它在 HAProxy 支持的所有平台上都可用。另请参阅“nokqueue”、“noepoll”和“noevports”。

禁用 SO_REUSEPORT 的使用 - 请参阅 socket(7)。它等同于命令行参数 "-dR"。

禁用在 Linux 上使用内核在套接字之间进行 tcp 拼接。它等同于命令行参数 "-dS"。数据将使用传统的、更具可移植性的 recv/send 调用进行复制。内核 tcp 拼接仅限于一些非常近期的内核 2.6 实例。大多数 2.6.25 到 2.6.28 之间的版本都有错误，会转发损坏的数据，因此不得使用。此选项使得在有疑问时可以轻松地全局禁用内核拼接。另请参阅 "option splice-auto"、"option splice-request" 和 "option splice-response"。

启用（'on'）或禁用（'off'）每个任务的 CPU 分析。当设置为 'auto' 时，当线程开始遭受平均延迟 1000 微秒或更高（如“avg_loop_us”活动字段中报告的）时，分析会自动开启该线程，当延迟返回到 990 微秒以下时，会自动关闭（此值是过去 1024 次循环的平均值，因此它不会快速变化，并且倾向于显著平滑短时间的峰值）。它还可能在系统过载、容器或虚拟机中，或者在系统交换时（负载均衡器上绝不能发生这种情况）自发触发。每个任务的 CPU 分析对于报告时间花在哪里以及哪些请求对哪些其他请求产生什么影响非常方便。启用它通常会影响整体性能不到 1%，因此建议将其保留为默认的“auto”值，以便它仅在识别到问题时运行。此功能需要支持具有 clock_gettime(2) 系统调用和 CLOCK_MONOTONIC 和 CLOCK_THREAD_CPUTIME_ID 时钟标识符的系统，否则报告的时间将为零。可以使用 CLI 上的“set profiling”在运行时更改此选项。

有时，希望避免以精确的间隔向服务器发送代理和健康检查，例如当许多逻辑服务器位于同一物理服务器上时。借助此参数，可以在检查间隔中添加 0 到 +/- 50% 之间的随机性。2 到 5 之间的值似乎效果很好。默认值仍为 0。

将 OpenSSL 引擎设置为 <name>。可以使用命令“openssl engine”获取 <name> 的有效值列表。此语句可以多次使用，它只会启用多个加密引擎。引用不支持的引擎将导致 haproxy 无法启动。请注意，许多引擎将导致 HTTPS 性能低于最新处理器上的纯软件。可选命令“algo”使用 OPENSSL 函数 ENGINE_set_default_string() 设置 ENGINE 将提供的默认算法。值为“ALL”时，引擎用于所有加密操作。如果未指定 algo 列表，则使用“ALL”的值。可以指定由不同算法组成的逗号分隔列表，包括：RSA、DSA、DH、EC、RAND、CIPHERS、DIGESTS、PKEY、PKEY_CRYPTO、PKEY_ASN1。这与 openssl 配置文件使用的格式相同：https://www.openssl.org/docs/man1.0.2/apps/config.html

将 SSL_MODE_ASYNC 模式添加到 SSL 上下文。如果使用支持异步的 SSL 引擎，这将启用异步 TLS I/O 操作。当前实现最多支持 32 个引擎。Openssl ASYNC API 不支持移动读/写缓冲区，并且不兼容 haproxy 的缓冲区管理。因此，异步模式在读/写操作时被禁用（它仅在初始握手和重新协商握手期间启用）。

为每个进程可能分配的缓冲区设置硬限制。默认值为零，表示无限制。非零的最小值将始终大于“tune.buffers.reserve”，并且理想情况下应大约是其两倍。强制设置此值可能特别有助于限制进程可能占用的内存量，同时保持合理的行为。当达到此限制时，需要缓冲区的会话将等待另一个会话释放。由于缓冲区是动态分配和释放的，等待时间非常短且不易察觉，前提是限制保持合理。实际上，有时减小限制甚至可以通过提高 CPU 缓存的效率来提高性能。测试表明，对于平均 HTTP 流量，将限制设置为预期全局 maxconn 设置的 1/10，可以获得良好的结果，同时显着降低内存使用量。内存节省来自于这样一个事实：一些连接不会分配 2*tune.bufsize。最好不要更改此值，除非 haproxy 核心开发人员建议这样做。

设置预分配并保留的缓冲区数量，仅在内存分配失败导致的内存短缺情况下使用。最小值为 2，也是默认值。用户没有理由更改此值，它主要针对 haproxy 核心开发人员。

将缓冲区大小设置为此大小（以字节为单位）。较低的值允许更多会话共存于相同数量的 RAM 中，而较高的值允许某些具有非常大 cookie 的应用程序工作。默认值为 16384，可以在构建时更改。强烈建议不要从默认值更改此值，因为非常低的值会破坏某些服务（如统计信息），而大于默认大小的值会增加内存使用量，可能导致系统内存不足。至少，全局 maxconn 参数应按此参数增加的相同比例减小。此外，HTTP/2 的使用要求此值必须为 16384 或更高。如果 HTTP 请求大于（tune.bufsize - tune.maxrewrite），haproxy 将返回 HTTP 400 (Bad Request) 错误。同样，如果 HTTP 响应大于此大小，haproxy 将返回 HTTP 502 (Bad Gateway)。请注意，使用此参数设置的值将在 32 位机器上自动向上舍入到下一个 8 的倍数，在 64 位机器上向上舍入到下一个 16 的倍数。

此选项已弃用并被忽略。

设置最大压缩级别。压缩级别影响压缩期间的 CPU 使用率。此值影响压缩期间的 CPU 使用率。每个使用压缩的会话都使用此值初始化压缩算法。默认值为 1。

如果使用 DEBUG_FAIL_ALLOC 编译，则给出分配尝试失败的百分比几率。必须介于 0（无失败）和 100（无成功）之间。这对于调试和确保内存故障得到妥善处理非常有用。

为支持它的文件描述符（FD）启用（'on'）或禁用（'off'）边缘触发轮询模式。目前仅在 epoll 下支持。在某些情况下，它可能会显著减少 epoll_ctl() 调用的数量并略微提高性能。这仍然是实验性的，如果仍然存在错误，可能会导致连接冻结，并且默认禁用。

设置 HTTP/2 动态头表大小。默认为 4096 字节，不能大于 65536 字节。较大的值可能有助于某些客户端发送更紧凑的请求，具体取决于它们的能力。每个 HTTP/2 连接都会消耗此数量的内存。建议不要更改它。

设置 HTTP/2 的初始窗口大小，即客户端在等待 haproxy 确认之前可以上传的字节数。此设置仅影响有效负载内容（即 POST 请求的正文），而不影响标头。默认值为 65535，在大约 100 毫秒的 ping 时间的网络上，每位客户端的上传带宽约为 5 Mbps，在 1 毫秒的本地网络上约为 500 Mbps。增加此值以允许更快的上传，或在处理多个客户端时减小此值以增加公平性是有意义的。它不影响资源使用。

设置每个连接的 HTTP/2 最大并发流数（即单个连接上的未完成请求数）。默认值为 100。在具有高延迟的网络上访问时，更大的值可能会略微改善复杂站点的页面加载时间，但会增加单个客户端可能分配的资源量。值为零会禁用限制，因此单个客户端可以创建 haproxy 可分配的任意数量的流。强烈建议不要更改此值。

设置 haproxy 向其对等节点宣告愿意接收的最大帧大小。默认值是 16384 和缓冲区大小 (tune.bufsize) 之间的较大者。在任何情况下，haproxy 都不会宣告支持大于缓冲区的帧大小。此设置的主要目的是在配置大缓冲区时允许限制最大帧大小。过大的帧大小可能会影响性能或导致某些对等节点行为异常。强烈建议不要更改此值。

设置捕获的 cookie 的最大长度。"capture cookie xxx len yyy" 允许的最大值将是此值，任何更高的值都将自动截断为此值。重要的是不要设置太高的值，因为所有 cookie 捕获无论其配置值如何都会分配此大小（它们共享一个池）。此值是每个请求每个响应的，因此每个连接分配的内存是此值的两倍。如果未指定，限制设置为 63 个字符。建议不要更改此值。

设置日志中请求 URI 的最大长度。这可以防止在日志行中截断带有有价值查询字符串的长请求 URI。这与 syslog 的限制无关。如果增加此限制，您可能还需要增加 'log ... len yyy' 参数。您的 syslog 守护进程可能也需要特定的配置指令。默认值为 1024。

设置请求中的最大报头数。当请求的报头数（包括第一行）大于此值时，它将被拒绝，并返回 "400 Bad Request" 状态码。同样，过大的响应将被阻止，并返回 "502 Bad Gateway"。默认值为 101，对于所有用途来说已经足够，考虑到广泛部署的 Apache 服务器也使用相同的限制。有时可以进一步提高此限制，以便在修复错误的应用程序之前临时允许其工作。可接受的范围是 1..32767。请记住，每个新报头都会为每个会话消耗 32 位的内存，因此不要将此限制设置得太高。

启用（'on'）或禁用（'off'）同一服务器的空闲连接池在线程间的共享。默认是共享它们，以最小化到服务器的持久连接数，并优化连接重用率。但为了帮助调试或当怀疑 HAProxy 在连接重用方面存在错误时，强制禁用多线程间的空闲池共享，并将此选项设置为 "off" 可能很方便。默认是 on。强烈建议在禁用此选项时，不要为所有依赖连接重用以实现高性能的服务器设置一个保守的“pool-low-conn”值，否则随着线程数的增加，连接可能会被频繁关闭。

设置 haproxy 将认为空缓冲区可能与空闲流关联的时间。这用于在转发大量和小数据时优化某些数据包大小。使用 splice() 或在 SSL 中发送大缓冲区进行数据的决定受此参数的调节。该值以毫秒为单位，在 0 到 65535 之间。值为零表示 haproxy 不会尝试检测空闲流。默认值为 1000，它似乎能正确检测最终用户暂停（例如，在点击之前阅读页面）。没有理由更改此值。请查看下面的 tune.ssl.maxrecord。

启用（'on'）或禁用（'off'）侦听器的多队列接受，该接受会将传入流量分散到“bind
此关键字可在以下部分中使用：
Peers
按字母顺序排序的关键字参考”行允许运行的所有线程，而不是将它们全部自己占用。这提供了更平滑的流量分布，并且可扩展性更好，特别是在线程可能因外部活动（例如，网络中断与某个线程冲突）而不均匀加载的环境中。此选项默认启用，但可以强制禁用以进行故障排除，或在估计操作系统已提供足够好的分布且连接寿命极短的情况下使用。

该指令强制 Lua 引擎每执行 <number> 条指令就执行一次让出（yield）。这允许中断一个长时间运行的脚本，并让 HAProxy 调度器处理其他任务，如接受连接或转发流量。默认值为 10000 条指令。如果 HAProxy 经常执行一些 Lua 代码但需要更高的响应性，可以降低这个值。如果 Lua 代码相当长，并且其结果对于处理数据是绝对必需的，可以增加这个 <number>。

设置 Lua 每个进程可用的最大 RAM 量（以兆字节为单位）。默认情况下为零，表示无限制。设置限制很重要，以确保脚本中的错误不会导致系统内存耗尽。

这是 Lua 会话的执行超时。这对于防止无限循环或在 Lua 中花费太多时间很有用。此超时仅计算纯 Lua 运行时。如果 Lua 执行了休眠，休眠时间不计入。默认超时为 4 秒。

这是 Lua 服务的执行超时。这对于防止无限循环或在 Lua 中花费太多时间很有用。此超时仅计算纯 Lua 运行时。如果 Lua 执行了休眠，休眠时间不计入。默认超时为 4 秒。

目的与 "tune.lua.session-timeout" 相同，但此超时专用于任务。默认情况下，此超时未设置，因为任务可能在 HAProxy 的整个生命周期内保持活动状态。例如，用于检查服务器的任务。

设置一个进程在切换到其他工作之前可以连续接受的最大连接数。在单进程模式下，较高的数字在高连接率下性能更好。然而，在多进程模式下，在进程之间保持一点公平性通常能更好地提高性能。此值单独应用于每个侦听器，以便考虑到侦听器绑定的进程数。此值默认为 64。在多进程模式下，它除以侦听器绑定的进程数的两倍。将此值设置为 -1 将完全禁用此限制。通常不需要调整此值。

设置一次调用轮询系统可以处理的最大事件量。默认值根据操作系统进行调整。已经注意到，将其降低到 200 以下会略微降低延迟，但会牺牲网络带宽，而将其增加到 200 以上则会以延迟换取略微增加的带宽。

将保留的缓冲区空间设置为此大小（以字节为单位）。保留空间用于报头重写或追加。套接字上的第一次读取永远不会超过 bufsize-maxrewrite。历史上，它默认为 bufsize 的一半，但这没有太大意义，因为很少有大量的报头需要添加。设置得太高会妨碍处理大的请求或响应。设置得太低会妨碍向已有的较大请求或 POST 请求添加新报头。通常明智的做法是将其设置为大约 1024。如果大于 bufsize 的一半，它会自动调整为 bufsize 的一半。这意味着您在更改 bufsize 时不必担心它。

将模式查找缓存的大小设置为 <number> 个条目。这是一个 LRU 缓存，用于记住以前的查找及其结果。它由 ACL 和 maps 在慢模式查找中使用，即使用“sub”、“reg”、“dir”、“dom”、“end”、“bin”匹配方法以及不区分大小写的字符串。它适用于模式表达式，这意味着它能够记住配置行（包括从文件中加载的所有模式）上所有指定模式的查找结果。它会自动使通过 HTTP 操作或 CLI 更新的条目失效。默认缓存大小设置为 10000 个条目，这将其占用空间限制在每个进程/线程约 5 MB（32 位系统）和每个进程/线程约 8 MB（64 位系统），因为缓存是线程/进程本地的。此缓存中发生冲突的风险非常低，约为缓存大小除以 2^64。通常，在每秒 10000 个请求且默认缓存大小为 10000 个条目的情况下，暴力攻击导致单个冲突的概率在 60 年后为 1%，在 6 年后为 0.1%。这被认为远低于老化组件引起的内存损坏风险。如果这不可接受，可以通过将此参数设置为 0 来禁用缓存。

将内核管道缓冲区大小设置为此大小（以字节为单位）。默认情况下，管道是系统的默认大小。但有时在使用 TCP 拼接时，增加管道大小可以提高性能，特别是在怀疑管道未被填满且执行了许多 splice() 调用时。这对内核的内存占用有影响，因此如果影响不明确，则不应更改此值。

此设置设置了haproxy全局使用的文件描述符数量（百分比）与haproxy可以使用但在此之前我们将开始在无法重用连接且必须创建新连接时杀死空闲连接的最大文件描述符数量之间的比率。默认值为25（四分之一的文件描述符意味着大约一半的最大前端连接可以保留一个空闲连接，超出此范围在一般情况下目标是连接重用时意义不大）。

此设置设置了haproxy全局使用的文件描述符数量（百分比）与haproxy可以使用但在此之前我们将停止将连接放入空闲池进行重用的最大文件描述符数量之间的比率。默认值为20。

强制将客户端或服务器端的内核套接字接收缓冲区大小设置为指定的字节值。此值适用于所有 TCP/HTTP 前端和后端。通常不应设置此值，默认大小（0）让内核根据可用内存量自动调整此值。但是，有时将其设置为非常低的值（例如 4096）有助于节省内核内存，因为它阻止内核缓冲过多的接收数据。不过，较低的值会显著增加 CPU 使用率。

HAProxy 使用一些提示来检测短读是否表示套接字缓冲区的末尾。其中之一是读取返回的字节数超过 <recv_enough>，默认为 10136（7 个 1448 字节的段）。此默认值可以通过此设置更改，以更好地处理涉及大量短消息的工作负载，例如 telnet 或 SSH 会话。

在运行任务时，设置一次可以处理的任务的最大数量。默认值为 200。增加它可能会在处理 I/O 时增加延迟，而使其太小可能会产生额外的开销。在尝试使用大得多的值时，启用 tune.sched.low-latency 以将最大延迟限制在尽可能低的范围内可能很有用。

启用（'on'）或禁用（'off'）低延迟任务调度程序。默认情况下，haproxy 按顺序一次处理几个类别的任务，因为这效率最高。但在使用较大的 tune.runqueue-depth 值运行时，这可能会对请求或连接延迟产生可衡量的影响。当启用此低延迟设置时，如果存在较低优先级的任务，它们将始终在其他任务之前执行。这将有助于降低在大流量中新请求或连接所经历的最大延迟，但代价是影响大流量的程度更高。对于常规用法，最好将其关闭。默认值为 off。

将客户端或服务器端的内核套接字发送缓冲区大小强制设置为指定的字节数。此值适用于所有TCP/HTTP前端和后端。通常不应设置它，默认大小（0）允许内核根据可用内存量自动调整此值。但是，有时将其设置为非常小的值（例如4096）可以通过阻止内核缓冲过多的接收数据来节省内核内存。然而，较低的值将显著增加CPU使用率。另一种用例是防止由于内核等待缓冲区的大部分被读取然后再次通知haproxy而导致的极慢客户端的写入超时。

将全局 SSL 会话缓存的大小设置为块数。一个块足够大，可以包含一个没有对端证书的编码会话。带有对端证书的编码会话根据对端证书的大小存储在多个块中。一个块使用大约 200 字节的内存（基于 `sizeof(struct sh_ssl_sess_hdr) + SHSESS_BLOCK_MIN_SIZE` 计算，用于 `shctx_init` 函数）。默认值可以在构建时强制设置，否则默认为 20000。当缓存已满时，最不活动的条目将被清除并重新分配。较高的值会减少此类清除的发生次数，从而通过确保所有用户尽可能长时间地保留其会话来减少 CPU 密集型 SSL 握手的次数。所有条目在启动时预分配，并且如果“nbproc
此关键字可在以下部分中使用：
进程管理和安全
从内部状态获取样本”大于 1 时，这些条目会在所有进程之间共享。将此值设置为 0 会禁用 SSL 会话缓存。

设置用于捕获客户端 hello 密码列表、扩展列表、椭圆曲线列表和椭圆曲线点格式的缓冲区的最大大小。如果值为 0（默认值），则禁用捕获，否则将为每个 SSL/TLS 连接分配一个缓冲区。

在 DHE 密钥交换的情况下，设置用于生成临时/临时 Diffie-Hellman 密钥的 Diffie-Hellman 参数的最大大小。最终大小将尝试匹配服务器的 RSA（或 DSA）密钥的大小（例如，对于 2048 位 RSA 密钥，使用 2048 位临时 DH 密钥），但不会超过此最大值。只允许 1024 或更高的值。较高的值会增加 CPU 负载，而大于 1024 位的值不受 Java 7 及更早版本的客户端支持。如果直接在证书文件中或通过使用 ssl-dh-param-file 参数提供了静态 Diffie-Hellman 参数，则不使用此值。如果既没有定义 default-dh-param 也没有定义 ssl-dh-param-file，并且给定前端的服务器 PEM 文件没有指定其自己的 DH 参数，则 DHE 密码将对此前端不可用。

此选项禁用所有进程之间的 SSL 会话缓存共享。通常不应使用它，因为它会由于客户端命中随机进程而强制进行许多重新协商。但在某些操作系统上可能需要它，因为这些操作系统上可能无法使用任何 SSL 缓存同步方法。在这种情况下，在 SSL 层之前添加第一层基于哈希的负载均衡可能会限制缺少会话共享的影响。

此选项激活 TLS 密钥的日志记录。应谨慎使用，因为它会消耗每个 SSL 会话更多的内存，并可能降低性能。默认情况下禁用此功能。这些样本提取应与用于生成解密 wireshark 流量所需的 SSLKEYLOGFILE 一起使用。https://mdn.org.cn/en-US/docs/Mozilla/Projects/NSS/Key_Log_Format SSLKEYLOG 是一系列行，格式如下：<Label> <space> <ClientRandom> <space> <Secret> ClientRandom 由 %[ssl_fc_client_random,hex] 样本提取提供，Secret 和 Label 可以在下面的数组中找到。您需要生成一个包含此数组中所有标签的 SSLKEYLOGFILE。以下样本提取是十六进制字符串，无需转换。SSLKEYLOGFILE 标签 | Secret 的样本提取 --------------------------------|----------------------------------------- CLIENT_EARLY_TRAFFIC_SECRET | %[ssl_fc_client_early_traffic_secret] CLIENT_HANDSHAKE_TRAFFIC_SECRET | %[ssl_fc_client_handshake_traffic_secret] SERVER_HANDSHAKE_TRAFFIC_SECRET | %[ssl_fc_server_handshake_traffic_secret] CLIENT_TRAFFIC_SECRET_0 | %[ssl_fc_client_traffic_secret_0] SERVER_TRAFFIC_SECRET_0 | %[ssl_fc_server_traffic_secret_0] EXPORTER_SECRET | %[ssl_fc_exporter_secret] EARLY_EXPORTER_SECRET | %[ssl_fc_early_exporter_secret] 仅当使用 OpenSSL 1.1.1 时可用，并且对于 TLS1.3 会话很有用。如果您想生成 TLS < 1.3 的 SSLKEYLOGFILE 内容，您只需要以下行：“CLIENT_RANDOM %[ssl_fc_client_random,hex] %[ssl_fc_session_key,hex]”

设置缓存的 SSL 会话可以保持有效的时长。此时间以秒为单位表示，默认为 300（5 分钟）。重要的是要理解，这并不保证会话会持续那么长时间，因为如果缓存已满，最长时间空闲的会话将被清除，尽管它们配置了生命周期。此设置的真正用处是防止会话被使用太长时间。

设置一次传递给 SSL_write() 的最大字节数。默认值 0 表示没有限制。通过 SSL/TLS，客户端只有在接收到完整的记录后才能解密数据。对于大记录，这意味着客户端可能需要下载多达 16kB 的数据才能开始处理它们。限制该值可以改善位于高延迟或低带宽网络上的浏览器的页面加载时间。建议找到适合 1 或 2 个 TCP 段（在以太网上启用 TCP 时间戳时通常为 1448 字节，禁用时间戳时为 1460 字节）的最佳值，同时记住 SSL/TLS 会增加一些开销。测试期间，1419 和 2859 的典型值取得了良好结果。使用“strace -e trace=write”来找到最佳值。HAProxy 在检测到空闲流后将自动切换到此设置（请参阅上面的 tune.idletimer）。

将用于存储生成证书的缓存大小设置为 <number> 个条目。这是一个 LRU 缓存。因为动态生成 SSL 证书的开销很大，所以它们被缓存起来。默认缓存大小设置为 1000 个条目。

这五个 tune 参数有助于管理变量系统使用的内存总量。“global”限制了所有作用域可用的内存总量。“proc”限制了进程作用域的内存，“sess”限制了会话作用域的内存，“txn”用于事务作用域，而“reqres”限制了每个请求或响应处理的内存。内存计数是分层的，这意味着更粗粒度的限制包括更细粒度的限制：“proc”包含“sess”，“sess”包含“txn”，“txn”包含“reqres”。例如，当“tune.vars.sess-max-size”限制为 100 时，“tune.vars.txn-max-size”和“tune.vars.reqres-max-size”也不能超过 100。如果我们创建一个包含 100 字节的变量“txn.var”，则所有可用空间都会被消耗。请注意，在运行时超出限制不会导致错误消息，但值可能会被截断或损坏。因此，请务必准确规划存储所有变量所需的空间量。

为每个会话在 zlib 初始化中设置 memLevel 参数。它定义了应为内部压缩状态分配多少内存。值为 1 使用最少的内存，但速度慢且压缩率降低；值为 9 使用最大的内存以获得最佳速度。可以是 1 到 9 之间的值。默认值为 8。

为每个会话在 zlib 初始化中设置窗口大小（历史缓冲区的大小）。此参数的较大值会以内存使用为代价带来更好的压缩效果。可以是 8 到 15 之间的值。默认值为 15。

启用调试模式，将所有交换信息转储到标准输出，并禁止 fork 到后台。它等同于命令行参数 "-d"。它绝不应在生产配置中使用，因为它可能会阻止系统完全启动。

启动期间不显示任何消息。它等同于命令行参数 "-q"。

当设置此选项时，如果处理配置时发出任何警告，haproxy 将拒绝启动。强烈建议在不经常更改的配置上设置此选项，因为它有助于检测细微的错误，并使配置保持清晰和前向兼容。请注意，“haproxy -c”在这种情况下也会报告错误。此选项等同于命令行参数“-dW”。

可以通过仅允许经过身份验证和授权的用户来控制对前端/后端/侦听部分或 http 统计信息的访问。为此，需要创建至少一个用户列表并定义用户。

创建名为 <listname> 的新用户列表。可以使用许多独立的用户列表来存储独立客户的身份验证和授权数据。

将组 <groupname> 添加到当前用户列表。也可以通过使用逗号分隔的名称列表（前面有 "users" 关键字）将用户附加到此组。

将用户 <username> 添加到当前用户列表中。可以使用安全（加密）和不安全（未加密）的密码。加密密码使用 crypt(3) 函数进行评估，因此取决于系统的功能，支持不同的算法。例如，现代基于 Glibc 的 Linux 系统支持 MD5、SHA-256、SHA-512，当然还有经典的基于 DES 的加密密码方法。注意：请注意，使用加密密码可能会显著增加 CPU 使用率，具体取决于请求数量和使用的算法。对于任何哈希变体，每个请求的密码都必须通过选定的算法进行处理，然后才能与配置文件中指定的值进行比较。大多数当前算法故意设计成计算成本高昂，以抵抗暴力攻击。它们不是一次性加盐/哈希明文密码，而是成千上万次。这可能很快成为 haproxy 总体 CPU 消耗的一个主要因素！

userlist L1 group G1 users tiger,scott group G2 users xdb,scott user tiger password $6$k6y3o.eP$JlKBx9za9667qe4(...)xHSwRv6J.C0/D7cV91 user scott insecure-password elgato user xdb insecure-password hello userlist L2 group G1 group G2 user tiger password $6$k6y3o.eP$JlKBx(...)xHSwRv6J.C0/D7cV91 groups G1 user scott insecure-password elgato groups G1,G2 user xdb insecure-password hello groups G2

请注意，这两个列表在功能上是相同的。

可以在多个 haproxy 实例之间通过 TCP 连接以多主方式传播粘性表中的任何数据类型的条目。每个实例将其本地更新和插入推送到远程对等节点。推送的值会覆盖远程值，而不进行聚合。中断的交换会自动检测并从最后一个已知点恢复。此外，在软重启期间，旧进程使用这样的 TCP 连接连接到新进程，以在新进程尝试连接其他对等节点之前推送其所有条目。这确保了在重新加载期间的快速复制，即使对于大型表，通常也只需要几分之一秒。请注意，服务器 ID 用于远程识别服务器，因此重要的是配置看起来相似，或者至少在所有参与者上对每个服务器强制使用相同的 ID。

创建名为 <peersect> 的新对等节点列表。它是一个独立的部分，由一个或多个粘性表引用。

定义此“peers”部分中本地对等节点的绑定参数。在同一个“peers”部分中，此类行不支持与“peer”行同时使用。

禁用一个对等节点部分。它会禁用与此部分相关的侦听和任何同步。这用于禁用粘性表的同步，而无需注释掉所有 "peers" 引用。

定义本地对等节点的绑定参数，但不包括其地址。

更改“peers”部分中服务器的默认选项。

<param*> 是此服务器的参数列表。“default-server
此关键字可在以下部分中使用：
Peers
按字母顺序排序的关键字参考”关键字接受大量选项，并有一个专门介绍它的部分。在 peers 部分，支持 default-server 行的传输参数。请参阅第 5 节以获取更多详细信息，以及本节下面的 server 关键字以获取一些限制。

此选项重新启用一个先前通过“disabled
此关键字在以下部分可用：
对等节点
按字母排序的关键字参考
服务器和默认服务器选项”关键字禁用的 peers 部分。

“peers”部分支持与代理相同的“log
此关键字可在以下部分中使用：
进程管理和安全
Peers
按字母顺序排序的关键字参考”关键字，用于记录有关“peers”侦听器的信息。请参阅代理的“log
此关键字可在以下部分中使用：
进程管理和安全
Peers
按字母顺序排序的关键字参考”选项以获取更多详细信息。

在 peers 部分内定义一个 peer。如果 <peername> 设置为本地 peer 名称（默认为主机名，或通过“-L”命令行选项或“localpeer”全局配置设置强制设置），则 HAproxy 将在该地址上侦听传入的远程 peer 连接。否则，该地址定义了连接到哪里以加入远程 peer，而 <peername> 在协议级别用于标识和验证服务器端的远程 peer。在软重新启动期间，旧实例会使用本地 peer 地址连接新实例，并启动完整的复制（教学过程）。强烈建议所有 peer 使用完全相同的 peers 声明，并且仅依赖“-L”命令行参数或“localpeer”全局配置设置来更改本地 peer 名称。这使得跨所有 peer 维护一致的配置文件更加容易。您可能需要引用地址参数中的某些环境变量，有关环境变量的信息，请参阅第 2.3 节。注意：“peer”关键字可以被“server
此关键字可在以下部分中使用：
Peers
Rings
按字母顺序排序的关键字参考”关键字透明地替换（请参阅下面的“server
此关键字可在以下部分中使用：
Peers
Rings
按字母顺序排序的关键字参考”关键字解释）。

如前所述，“peer”关键字可以被“server
此关键字可在以下部分中使用：
Peers
Rings
按字母顺序排序的关键字参考”关键字替换，支持 5.2 段中与传输设置相关的“server
此关键字可在以下部分中使用：
Peers
Rings
按字母顺序排序的关键字参考”参数。如果底层 peer 是本地的，则地址参数不得存在；它必须在“bind
此关键字可在以下部分中使用：
Peers
按字母顺序排序的关键字参考”行上提供（请参阅本节的“peers”部分中的“bind
此关键字可在以下部分中使用：
Peers
按字母顺序排序的关键字参考”关键字）。一些“server
此关键字可在以下部分中使用：
Peers
Rings
按字母顺序排序的关键字参考”参数与“peers”部分无关。Peer 本质上不支持动态主机名解析或运行状况检查，因此“init_addr”、“resolvers
此关键字可在以下部分中使用：
Server 和 default-server 选项
resolvers 部分”、“check”、“agent-check”或“track”等参数不受支持。同样，没有负载均衡也没有粘性，因此“weight”或“cookie
此关键字可在以下部分中使用：
按字母顺序排序的关键字参考
Server 和 default-server 选项
获取 HTTP 样本（Layer 7）”等参数无效。

 # 旧方法。 peers mypeers peer haproxy1 192.168.0.1:1024 peer haproxy2 192.168.0.2:1024 peer haproxy3 10.2.0.1:1024 backend mybackend mode tcp balance roundrobin stick-table type ip size 20k peers mypeers stick on src server srv1 192.168.0.30:80 server srv2 192.168.0.31:80 示例: peers mypeers bind 192.168.0.1:1024 ssl crt mycerts/pem default-server ssl verify none server haproxy1 #本地对等节点 server haproxy2 192.168.0.2:1024 server haproxy3 10.2.0.1:1024

为当前部分配置粘性表。此行解析方式与“stick-table”关键字在其他部分中的解析方式相同，只是“peers”参数在此处不是必需的，并且有一个额外的强制性第一个参数来指定粘性表。与其他部分不同，peers 部分可能有多行“table”（另请参阅“stick-table”关键字）。还要注意，“peers”部分有自己的粘性表命名空间，以避免在不同“peers”部分中具有相同名称的粘性表之间发生冲突。这通过在粘性表名称前加上“peers”部分名称，然后加上“/”字符来内部处理。如果在配置文件的其他地方必须引用在“peers”部分声明的此类粘性表，则必须使用带前缀的粘性表名称，如下所示：peers mypeers peer A ... peer B ... table t1 ... frontend fe1 tcp-request content track-sc0 src table mypeers/t1 这也是用于通过 CLI 引用在“peers”部分声明的粘性表的带前缀的粘性表名称。关于“peers”协议，由于同一部分的“peers”才能相互通信，因此无需进行此类区分。多个“peers”部分可能声明同名的粘性表。这是在网络上发送的粘性表名称的较短版本。只有一个“/”字符作为前缀，以避免在声明为后端的粘性表与在“peers”部分中声明的粘性表之间发生名称冲突，如下面这种奇怪但支持的配置所示：peers mypeers peer A ... peer B ... table t1 type string size 10m store gpc0 backend t1 stick-table type string size 10m store gpc0 peers mypeers 在这里，“mypeers”部分声明的“t1”表具有“mypeers/t1”的全局名称。“t1”表声明为后端，其全局名称为“t1”。但在此对端协议级别，前者表名为“/t1”，后者表名仍为“t1”。

当服务器状态发生变化时，可以发送电子邮件警报。如果配置了电子邮件警报，则会发送到邮件发送器部分中配置的每个邮件发送器。电子邮件使用 SMTP 发送给邮件发送器。

创建名为 <mailersect> 的新邮件发送器列表。它是一个独立的部分，由一个或多个代引用。

在邮件发送器部分内定义一个邮件发送器。

mailers mymailers mailer smtp1 192.168.0.1:587 mailer smtp2 192.168.0.2:587 backend mybackend mode tcp balance roundrobin email-alert mailers mymailers email-alert from test1@horms.org email-alert to test2@horms.org server srv1 192.168.0.30:80 server srv2 192.168.0.31:80

定义可用于建立邮件/连接并发送到邮件服务器的时间。如果未定义，默认值为 10 秒。为了允许在初始 TCP 握手期间至少发送两个 SYN-ACK 数据包，建议将此值保持在 4 秒以上。

mailers mymailers timeout mail 20s mailer smtp1 192.168.0.1:587

在 master-worker 模式下，可以与 master 一起启动外部二进制文件，这些进程称为程序。这些程序的启动和管理方式与 worker 相同。在 HAProxy 重载期间，这些进程将经历与 worker 相同的序列： - master 被重新执行 - master 向程序发送一个 SIGUSR1 信号 - 如果没有禁用“option start-on-reload”，master 将启动一个新的程序实例 在停止或重启期间，会向程序发送一个 SIGTERM 信号。

这是一个新的程序部分，此部分将创建一个名为 <name> 的实例，该实例在 master CLI 的 "show proc" 中可见。（请参阅管理指南中的 "9.4. Master CLI"）。

定义要启动的命令及可选参数。如果命令不包含绝对路径，则会在当前 PATH 中查找。这是 program 部分的一个强制选项。包含空格的参数必须用单引号或双引号括起来，或者以反斜杠为前缀。

将执行的命令用户 ID 更改为 /etc/passwd 中的 <用户名>。另请参阅“group
此关键字在以下部分可用：
进程管理和安全
用户列表
程序
绑定选项”。

将执行的命令组 ID 更改为 /etc/group 中的 <组名>。另请参阅“user
此关键字在以下部分可用：
进程管理和安全
用户列表
程序
绑定选项”。

在 master 重载时启动（或不启动）程序的新实例。默认是启动新实例。此选项只能在 program 部分使用。

可以全局声明多个 HTTP 错误组，以便之后在任何代理部分中导入。同一个组可以在多个地方被引用，并且可以全部或部分导入。

创建一个名为 <name> 的新 http-errors 组。它是一个独立的部分，可以由一个或多个代理通过其名称引用。

将文件内容与一个 HTTP 错误码关联起来。

<code> 是 HTTP 状态码。目前，HAProxy 能够生成 200、400、401、403、404、405、407、408、410、425、429、500、502、503 和 504 的代码。<file> 指定一个包含完整 HTTP 响应的文件。建议遵循将“.http”附加到文件名上的常见做法，以便人们不会将响应与 HTML 错误页面混淆，并使用绝对路径，因为文件是在执行任何 chroot 之前读取的。

请参考第 4 节中的“errorfile
此关键字在以下部分可用：
HTTP 错误
按字母排序的关键字参考”关键字以获取详细信息。

http-errors website-1 errorfile 400 /etc/haproxy/errorfiles/site1/400.http errorfile 404 /etc/haproxy/errorfiles/site1/404.http errorfile 408 /dev/null # 解决 Chrome 预连接错误 http-errors website-2 errorfile 400 /etc/haproxy/errorfiles/site2/400.http errorfile 404 /etc/haproxy/errorfiles/site2/404.http errorfile 408 /dev/null # 解决 Chrome 预连接错误

可以全局声明环形缓冲区，用作日志服务器或跟踪的目标。

创建一个名为 <ringname> 的新环形缓冲区。

描述是环形缓冲区的可选描述字符串。它将出现在 CLI 中。默认情况下，<name> 会被重用以填充此字段。

用于将事件存储到环形缓冲区的格式。

<format> 是生成 syslog 消息时使用的日志格式。它可以是以下之一： iso 包含仅 ISO 日期，后跟文本的消息。省略 PID、进程名和系统名。此格式旨在与本地日志服务器一起使用。 raw 仅包含文本的消息。省略级别、PID、日期、时间、进程名和系统名。此格式旨在在容器内或开发过程中使用，其中严重性仅取决于使用的文件描述符（stdout/stderr）。这是默认设置。 rfc3164 RFC3164 syslog 消息格式。这是默认设置。（https://tools.ietf.org/html/rfc3164） rfc5424 RFC5424 syslog 消息格式。（https://tools.ietf.org/html/rfc5424） short 包含仅在尖括号内的级别的消息，例如“<3>”，后跟文本。省略 PID、日期、时间、进程名和系统名。此格式旨在与本地日志服务器一起使用。此格式与 systemd 日志记录器使用的格式兼容。 timed 包含仅在尖括号内的级别的消息，例如“<3>”，后跟 ISO 日期和文本的消息。省略 PID、进程名和系统名。此格式旨在与本地日志服务器一起使用。

存储在环形缓冲区中的事件消息的最大长度，包括格式化的头部。如果事件消息长于 <length>，它将被截断为此长度。

用于配置 syslog tcp 服务器以转发来自 ring buffer 的消息。它支持 5.2 段中找到的所有“server
此关键字在以下部分可用：
Peers
Rings
按字母顺序排序的关键字参考”参数。其中一些参数对于“ring”部分是不相关的。重要提示：将一个 ring 添加到多个服务器上的原因很少，因为所有服务器都将收到完全相同的 ring 内容副本，因此 ring 将以最慢服务器的速度前进。如果一个服务器无响应，它将阻止旧消息被清除，并可能阻止新消息被插入 ring。将消息发送到多个服务器的正确方法是为每个日志服务器使用一个单独的 ring，而不是将多个服务器连接到同一个 ring。请注意，特定的服务器指令“log-proto”用于设置用于发送消息的协议。

这是环形缓冲区的可选大小，以字节为单位。默认值设置为 BUFSIZE。

设置等待服务器连接尝试成功的最大时间。

<timeout> 是默认以毫秒为单位指定的超时值，但如果数字后缀有单位，则可以是任何其他单位，如本文档开头所述。

设置待处理数据在输出缓冲区中停留的最长时间。

<timeout> 是默认以毫秒为单位指定的超时值，但如果数字后缀有单位，则可以是任何其他单位，如本文档开头所述。

global log ring@myring local7 ring myring description "我的本地缓冲区" format rfc3164 maxlen 1200 size 32764 timeout connect 5s timeout server 10s server mysyslogsrv 127.0.0.1:6514 log-proto octet-count

代理配置可以位于以下部分集合中： - defaults [<name>] - frontend <name> - backend <name> - listen <name> “defaults”部分设置其声明之后所有其他部分的默认参数。这些默认参数将被下一个“defaults”部分重置。有关可以在“defaults”部分中设置的参数列表，请参见下文。名称是可选的，但为了提高可读性，鼓励使用名称。“frontend”部分描述了一组接受客户端连接的侦听套接字。“backend”部分描述了一组代理将连接以转发传入连接的服务器。“listen”部分在一个部分中定义了其前端和后端部分结合在一起的完整代理。它通常对纯 TCP 流量有用。所有代理名称必须由大写和小写字母、数字、“-”（连字符）、“_”（下划线）、“.”（点）和“:”（冒号）组成。ACL 名称区分大小写，这意味着“www”和“WWW”是两个不同的代理。历史上，所有代理名称都可以重叠，这只会导致日志中的问题。自内容切换引入以来，具有重叠功能（前端/后端）的两个代理必须具有不同的名称。但是，前端和后端仍然可以共享相同的名称，因为这种配置似乎很常见。目前，支持两种主要的代理模式：“tcp”，也称为第 4 层，以及“http”，也称为第 7 层。在第 4 层模式下，HAProxy 仅在前后端两侧之间转发双向流量。在第 7 层模式下，HAProxy 分析协议，并可以通过允许、阻止、切换、添加、修改或删除请求或响应中的任意内容来与之交互，具体取决于任意标准。在 HTTP 模式下，对流经连接的请求和响应所应用的处理取决于前端的 HTTP 选项和后端的组合。HAProxy 支持 3 种连接模式： - KAL：keep alive（“option http-keep-alive”），这是默认模式：所有请求和响应都已处理，连接保持打开状态，但在响应和新请求之间处于空闲状态。 - SCL：server close（“option http-server-close”）：在收到响应的结束时关闭面向服务器的连接，但面向客户端的连接保持打开状态。 - CLO：close（“option httpclose”）：连接在响应结束时关闭，并在两个方向上都附加“Connection: close”。有效模式将应用于通过前端和后端连接的连接，这些模式可由两个代理模式根据以下矩阵确定，但简而言之，模式是对称的，keep-alive 是最弱的选项，close 是最强的。后端模式 | KAL | SCL | CLO ----+-----+-----+---- KAL | KAL | SCL | CLO ----+-----+-----+---- mode SCL | SCL | SCL | CLO ----+-----+-----+---- CLO | CLO | CLO | CLO

支持以下关键字列表。它们中的大多数只能在有限的段落类型中使用。其中一些被标记为“已弃用”，因为它们继承自一个可能令人困惑或功能有限的旧语法，并且有新的推荐关键字来替换它们。 标有“(*)”的关键字可以选择性地使用“no”前缀进行反转，例如“no option contstats”。当该选项默认启用并且必须为特定实例禁用时，这样做是有意义的。此类选项也可以使用“default”前缀，以便恢复默认设置，而不管之前的“defaults”段落中指定了什么。

关键字	defaults	frontend	listen	backend
acl
backlog
balance
bind
bind-process
capture cookie
capture request header
capture response header
compression
cookie
declare capture
default-server
default_backend
description
disabled
dispatch
email-alert from
email-alert level
email-alert mailers
email-alert myhostname
关键字	defaults	frontend	listen	backend
email-alert to
enabled
errorfile
errorfiles
errorloc
errorloc302
errorloc303
force-persist
filter
fullconn
grace
hash-type
http-after-response
http-check comment
http-check connect
http-check disable-on-404
http-check expect
http-check send
http-check send-state
http-check set-var
关键字	defaults	frontend	listen	backend
http-check unset-var
http-error
http-request
http-response
http-reuse
http-send-name-header
id
ignore-persist
load-server-state-from-file
(*)log
log-format
log-format-sd
log-tag
max-keep-alive-queue
max-session-srv-conns
maxconn
mode
monitor fail
monitor-net
monitor-uri
关键字	defaults	frontend	listen	backend
(*)option abortonclose
(*)option accept-invalid-http-request
(*)option accept-invalid-http-response
(*)option allbackups
(*)option checkcache
(*)option clitcpka
(*)option contstats
(*)option disable-h2-upgrade
(*)option dontlog-normal
(*)option dontlognull
option forwardfor
(*)option h1-case-adjust-bogus-client
(*)option h1-case-adjust-bogus-server
(*)option http-buffer-request
(*)option http-ignore-probes
(*)option http-keep-alive
(*)option http-no-delay
(*)option http-pretend-keepalive
option http-restrict-req-hdr-names
(*)option http-server-close
关键字	defaults	frontend	listen	backend
(*)option http-use-proxy-header
option httpchk
(*)option httpclose
option httplog
(*)option http_proxy
(*)option independent-streams
option ldap-check
option external-check
(*)option log-health-checks
(*)option log-separate-errors
(*)option logasap
option mysql-check
(*)option nolinger
option originalto
(*)option persist
option pgsql-check
(*)option prefer-last-server
(*)option redispatch
option redis-check
option smtpchk
关键字	defaults	frontend	listen	backend
(*)option socket-stats
(*)option splice-auto
(*)option splice-request
(*)option splice-response
option spop-check
(*)option srvtcpka
option ssl-hello-chk
option tcp-check
(*)option tcp-smart-accept
(*)option tcp-smart-connect
option tcpka
option tcplog
(*)option transparent
external-check command
external-check path
persist rdp-cookie
rate-limit sessions
redirect
retries
retry-on
关键字	defaults	frontend	listen	backend
server
server-state-file-name
server-template
source
stats admin
stats auth
stats enable
stats hide-version
stats http-request
stats realm
stats refresh
stats scope
stats show-desc
stats show-legends
stats show-node
stats uri
stick match
stick on
stick store-request
stick store-response
关键字	defaults	frontend	listen	backend
stick-table
tcp-check comment
tcp-check connect
tcp-check expect
tcp-check send
tcp-check send-lf
tcp-check send-binary
tcp-check send-binary-lf
tcp-check set-var
tcp-check unset-var
tcp-request connection
tcp-request content
tcp-request inspect-delay
tcp-request session
tcp-response content
tcp-response inspect-delay
timeout check
timeout client
timeout client-fin
timeout connect
关键字	defaults	frontend	listen	backend
timeout http-keep-alive
timeout http-request
timeout queue
timeout server
timeout server-fin
timeout tarpit
timeout tunnel
(已弃用)transparent
unique-id-format
unique-id-header
use_backend
use-fcgi-app
use-server

本节提供了每个关键字及其用法的描述。

声明或完成一个访问控制列表。

可在以下部分中使用：

defaults	frontend	listen	backend
否	是	是	是

acl invalid_src src 0.0.0.0/7 224.0.0.0/3 acl invalid_src src_port 0:1023 acl local_dst hdr(host) -i localhost

有关 ACL 的用法，请参见第 7 节。

向系统提供关于期望的监听队列（backlog）大致大小的提示。

可在以下部分中使用：

defaults	frontend	listen	backend
是	是	是	否

<conns> 是待处理连接的数量。根据操作系统的不同，它可能表示已确认的连接数、未确认的连接数或两者之和。

为了防范 SYN 洪水攻击，一种解决方案是增加系统的 SYN 队列大小。根据系统的不同，有时它只能通过系统参数进行调整，有时根本无法调整，有时系统依赖于应用程序在调用 listen() 系统调用时给出的提示。默认情况下，HAProxy 将前端的 maxconn 值传递给 listen() 系统调用。在可以利用此值的系统上，有时能够指定一个不同的值会很有用，因此有了这个 backlog 参数。在 Linux 2.4 上，该参数被系统忽略。在 Linux 2.6 上，它被用作一个提示，系统最多接受不小于该值的最小的 2 的幂次方，并且永远不会超过某些限制（通常是 32768）。

定义在后端中使用的负载均衡算法。

可在以下部分中使用：

defaults	frontend	listen	backend
是	否	是	是

<algorithm> 是在进行负载平衡时用于选择服务器的算法。这仅在没有可用持久性信息或连接被重新调度到另一台服务器时适用。<algorithm> 可以是以下之一： roundrobin 根据其权重轮流使用每台服务器。当服务器的处理时间保持平均分配时，这是最平滑、最公平的算法。此算法是动态的，这意味着可以随时调整服务器权重，例如用于慢启动。它在设计上限制为每个后端最多 4095 台活动服务器。请注意，在某些大型集群中，当一台服务器在短暂宕机后恢复正常时，可能需要几百个请求才能将其重新集成到集群中并开始接收流量。虽然很少见，但这是正常的。在此处指明，以防您有机会观察到它，以免您担心。 static-rr 根据其权重轮流使用每台服务器。此算法与 roundrobin 非常相似，只是它是静态的，这意味着随时更改服务器权重将无效。另一方面，它对服务器数量没有设计限制，并且当服务器启动时，在完全重新计算映射后，它总是会立即重新集成到集群中。它运行也使用稍少的 CPU（约 -1%）。 leastconn 连接数最少的服务器接收连接。在相同负载的服务器组之间执行轮循，以确保所有服务器都被使用。建议在预期会话时间很长的情况下使用此算法，例如 LDAP、SQL、TSE 等……但不太适合使用短会话协议（如 HTTP）的场景。此算法是动态的，这意味着可以随时调整服务器权重，例如用于慢启动。 first 具有可用连接槽的第一台服务器接收连接。服务器按从最低数字标识符到最高数字标识符（请参阅服务器参数“id
此关键字在以下部分可用：
按字母顺序排序的关键字参考
Bind 选项
服务器和默认服务器选项”），默认为服务器在集群中的位置）进行选择。一旦服务器达到其 maxconn 值，就会使用下一台服务器。不设置 maxconn 而使用此算法没有意义。此算法的目的是始终使用最少数量的服务器，以便在非高峰时段关闭额外的服务器。此算法忽略服务器权重，并且比 HTTP 更适合 RDP 或 IMAP 等长会话，尽管它在那里也可能有用。为了有效地使用此算法，建议云控制器定期检查服务器使用情况，在未使用时关闭服务器，并在集群膨胀时定期检查后端队列以启动新服务器。或者，使用“http-check send-state”可能会通知服务器的负载情况。 source 源 IP 地址被哈希并除以运行服务器的总权重，以指定哪台服务器将接收请求。只要没有服务器宕机或启动，这就能确保同一客户端 IP 地址始终到达同一台服务器。如果由于运行服务器数量的变化导致哈希结果发生变化，许多客户端将被定向到不同的服务器。此算法通常在不支持插入 cookie 的 TCP 模式下使用。它也可以在 Internet 上使用，为拒绝会话 cookie 的客户端提供尽力而为的粘性。此算法默认是静态的，这意味着随时更改服务器权重将无效，但可以使用“hash-type”进行更改。 uri 该 URI 的左侧部分（在问号之前）或整个 URI（如果存在“whole”参数）被哈希，并除以运行服务器的总权重。结果指定哪台服务器将接收请求。这用于代理缓存和防病毒代理，以最大化缓存命中率。请注意，此算法只能在 HTTP 后端中使用。此算法默认是静态的，这意味着随时更改服务器权重将无效，但可以使用“hash-type”进行更改。此算法支持两个可选参数“len”和“depth”，后面都跟一个正整数。当需要仅基于 URI 的开头来平衡服务器时，这些选项可能很有用。“len”参数表示算法仅考虑 URI 开头的字符数来计算哈希。请注意，“len”设置为 1 很少有意义，因为大多数 URI 都以斜杠“/”开头。“depth”参数表示用于计算哈希的最大目录深度。对于请求中的每个斜杠，算作一个级别。如果同时指定了这两个参数，则在达到任一参数时停止评估。“path-only”参数表示哈希键从路径的第一个“/”开始。这可用于忽略绝对 URI 的主机部分，并确保 HTTP/1 和 HTTP/2 URI 提供相同的哈希。 url_param 将在参数中指定的 URL 参数会在每个 HTTP GET 请求的查询字符串中查找。如果使用了“check_post”修改器，则当参数在 URL 的问号（“?”）之后未在查询字符串中找到时，会搜索 HTTP POST 请求实体。消息正文将在收到广告的数据量或请求缓冲区已满后开始分析。在极少数情况下使用分块编码时，仅扫描第一个块。由块边界分隔的参数值可能会被随机平衡（如果存在）。此关键字过去支持一个可选的 <max_wait> 参数，现在已被忽略。如果找到该参数后跟等号（“=”）和值，则对该值进行哈希处理并除以运行服务器的总权重。结果指定哪台服务器将接收请求。这用于跟踪请求中的用户标识符，并确保相同的用户 ID 只要服务器不出现宕机或启动，就会始终发送到同一台服务器。如果未找到值或未找到参数，则应用轮循算法。请注意，此算法只能在 HTTP 后端中使用。此算法默认是静态的，这意味着随时更改服务器权重将无效，但可以使用“hash-type”进行更改。 hdr(<name>) HTTP 标头 <name> 将在每个 HTTP 请求中查找。与等效的 ACL 'hdr()' 函数一样，括号中的标头名称不区分大小写。如果标头不存在或不包含任何值，则改为应用 roundrobin 算法。提供了一个可选的“use_domain_only”参数，用于将哈希算法缩小到主域部分，对于某些特定标头（如“Host”）来说。例如，在主机值“haproxy.1wt.eu”中，只考虑“1wt”。此算法默认是静态的，这意味着随时更改服务器权重将无效，但可以使用“hash-type”进行更改。 random random(<draws>) 将使用一个随机数作为一致性哈希函数的键。这意味着服务器的权重会得到尊重，动态权重更改会立即生效，新服务器的添加也会如此。随机负载平衡在大型集群或服务器频繁添加或删除的情况下可能很有用，因为它可能会避免在此情况下由 roundrobin 或 leastconn 引起的敲击效应。hash-balance-factor 指令可用于进一步提高负载平衡的公平性，特别是在服务器显示高度可变的响应时间的情况下。当存在参数 <draws> 时，它必须是大于等于 1 的整数值，表示在选择这些服务器中负载最低的服务器之前进行的抽样次数。事实上，已经证明选择两台服务器中负载最低的服务器足以显著提高算法的公平性，因为它总是避免选择集群中最加载的服务器，并消除一致列表分布不均可能引起的任何偏差。较高的值 N 将以性能为代价，剔除 N-1 台负载最高的服务器。对于非常高的值，算法将收敛到 leastconn 的结果，但速度慢得多。默认值为 2，通常显示非常好的分布和性能。此算法也称为“两次随机选择的强大性”，并在以下位置进行了描述：http://www.eecs.harvard.edu/~michaelm/postscripts/handbook2001.pdf rdp-cookie rdp-cookie(<name>) RDP cookie <name>（如果省略则为“mstshash”）将在每个传入的 TCP 请求中查找并进行哈希处理。与等效的 ACL 'req.rdp_cookie()' 函数一样，名称不区分大小写。此机制用作降级的持久性模式很有用，因为它可以使相同的用户（或相同的会话 ID）始终发送到同一台服务器。如果未找到 cookie，则改为使用正常的轮循算法。请注意，要使其正常工作，前端必须确保请求缓冲区中已存在 RDP cookie。为此，您必须使用“tcp-request content accept”规则并结合“req.rdp_cookie_cnt”ACL。此算法默认是静态的，这意味着随时更改服务器权重将无效，但可以使用“hash-type”进行更改。 <arguments> 是某些算法可能需要的可选参数列表。目前，只有“url_param”和“uri”支持可选参数。